Організаційна схема з правильними посадовими назвами не забезпечить вам отримання ліцензії. Регулюючий орган звертає увагу саме на архітектуру комплаєнсу: задокументовану незалежність, сукупний досвід у трьох окремих сферах знань та реальну інституційну сутність. Ось як цей стандарт працює на практиці.
«MiCA розшифровано»: чому регулятор розглядає вашу команду з питань дотримання вимог як єдиний інтелект
АВТОР
ПОДІЛИТИСЯ
MiCA Decoded — це щотижнева серія з 12 статей для Bitcoin.com News, співавторами якої є співзасновники та керуючі директори LegalBison: Аарон Глауберман, Віктор Юскін та Сабір Алієв. LegalBison консультує крипто- та FinTech-компанії з питань ліцензування MiCA, подачі заявок на CASP та VASP, а також регуляторного структурування в Європі та за її межами.
Міф: достатньо залучити зовнішнього спеціаліста з питань комплаєнсу
Коли засновники починають планувати отримання дозволу для постачальників послуг з криптоактивів (CASP), розмова майже завжди доходить до одного й того ж моменту: «Тож, чи потрібно нам наймати відповідального за комплаєнс?»
Іноді це питання супроводжується наступним: «А відповідального за повідомлення про відмивання грошей (MLRO)? Це все?»
Відповідь на обидва питання — так. Але розглядати ці дві посади як фінішну пряму — це найпоширеніша і найважливіша помилка в розумінні того, чого насправді вимагає MiCA від функції комплаєнсу.
Регулюючі органи не перевіряють, чи є в організаційній структурі правильні посадові назви. Вони оцінюють, чи має керівний орган, як єдине ціле, архітектуру знань, структурну незалежність та задокументовану операційну глибину для управління регульованою фінансовою установою. Ліцензія MiCA видається не особі. Вона видається організації.
Саме це розрізнення лежить в основі того, чому так багато заявок на початковому етапі затримуються або вимагають значної доопрацювання, перш ніж Національний компетентний орган (NCA) надасть дозвіл.
Що насправді означає «колективно» у Регламенті
Стаття 68(1) MiCA чітко визначає це питання. Члени керівного органу повинні володіти відповідними знаннями, навичками та досвідом «як індивідуально, так і колективно». Саме це одне слово, «колективно», відіграє значну регуляторну роль.
Спільні рекомендації ЄБА та ЄФМР щодо відповідності членів керівного органу та акціонерів для суб’єктів господарювання, що підпадають під дію MiCA, чітко визначають механізм цього стандарту, перелічуючи конкретні сфери професійного досвіду, якими повинен володіти керівний орган. Ейра Ярві, старший юрист LegalBison, виклала конкретні вимоги у таблиці нижче.
| Категорія вимог | Детальний опис |
| Регулювання фінансових ринків | Розуміння фінансових інструментів та фінансових інструментів на основі технології розподіленого реєстру (DLT), включаючи регуляторні вимоги згідно з SIBA та іншим чинним законодавством |
| Дотримання вимог AML/CTF | Знання вимог щодо протидії відмиванню грошей та фінансуванню тероризму, включаючи стратегії виявлення, оцінки та мінімізації ризиків |
| Віртуальні активи | Знання типів віртуальних активів, включаючи токени, прив’язані до активів, та токени електронних грошей, а також ризиків, пов’язаних з кожним з них |
| Захист даних | Розуміння зобов'язань щодо захисту даних, що стосуються діяльності Компанії |
| Управління ризиками | Розуміння принципів та процедур управління ризиками, включаючи ринкові, кредитні та ризики ліквідності |
| Управління та внутрішній контроль | Здатність оцінювати ефективність систем управління, механізмів нагляду та внутрішнього контролю |
| Цифрова операційна стійкість | Знання вимог, пов'язаних з операційною стійкістю |
| Стратегічні та управлінські знання | Досвід у стратегічному плануванні, розвитку бізнесу та реалізації бізнес-цілей |
| Управління сторонніми організаціями | Розуміння механізмів аутсорсингу, управління сторонніми постачальниками та відповідних нормативних вимог |
| Комунікація та нагляд | Здатність висловлювати думки, обговорювати стратегії та, у разі необхідності, ставити під сумнів рішення керівництва з метою забезпечення ефективного нагляду |
| Бухгалтерський облік та аудит | Здатність інтерпретувати фінансову інформацію, виявляти ключові проблеми та розуміти відповідні стандарти бухгалтерського обліку та аудиту |
| Знання в галузі права та регулювання | Знання правових вимог, що застосовуються до VASP, включаючи випуск та управління VA |
Аналізуючи рекомендації ESMA, стає зрозуміло, що сукупний профіль керівного органу повинен очевидно охоплювати три основні сфери знань, які включають усі ті, що детально описані Ейрою:
- Традиційні фінансові ринки: нормативно-правові рамки, зобов'язання щодо захисту інвесторів, правила поведінки на ринку та операційні стандарти, що застосовуються до ліцензованих постачальників фінансових послуг.
- Інфраструктура технології цифрових реєстрів (DLT) та кібербезпека: архітектура блокчейну, ризики на рівні протоколів, ризики, пов'язані зі смарт-контрактами, моделювання кіберзагроз та конкретні операційні вразливості, що виникають у результаті надання послуг у ланцюжку.
- Бізнес-стратегія та організаційне управління: розробка системи управління ризиками, архітектура внутрішнього контролю, політика управління та здатність оцінювати й періодично переглядати ефективність дотримання компанією відповідних вимог.
Регулюючий орган не очікує, що одна особа буде відповідати за всі три сфери. Очікування, формалізовані вимогою ESMA щодо подання компаніями оцінки їхньої «колективної придатності», полягають у тому, що команда в цілому має охоплювати всі ці сфери без істотних прогалин.
Керівний орган, що повністю складається з фахівців із традиційної фінансової сфери, серед яких немає жодної особи, здатної оцінити ризики інфраструктури DLT, є структурно неповним ще до подання заявки.
Те саме стосується й зворотного випадку: технічно сильна команда, що спеціалізується на криптовалютах, у якій немає жодної особи, яка розуміє поведінку регульованих фінансових ринків, зіткнеться з таким самим ретельним контролем.
Проблема часу, про яку ніхто не говорить
Існує другий рівень стандарту колективної придатності, який застає заявників зненацька.
Відповідні люди повинні існувати на практиці, а не лише на папері. Кожен член керівного органу повинен письмово задокументувати мінімальний час, який він присвячує компанії: зокрема, оцінку часу, присвяченого цій ролі (з вказівкою як річних, так і місячних показників), а також офіційну декларацію про всі інші виконавчі та невиконавчі посади, які він зараз обіймає.
Проект технічних регуляторних стандартів ESMA щодо авторизації (складений на основі першого пакету консультацій) чітко визначає це. Оцінка охоплює те, чи кожна особа є функціонально присутньою, а не лише номінально зазначеною.
Невиконавчий директор, який обіймає чотири інші посади в радах директорів та має консультаційні відносини з питань комплаєнсу з двома додатковими компаніями, зіткнеться з безпосереднім ретельним вивченням. Національний компетентний орган (NCA) повинен переконатися, що керівний орган може фактично виконувати свої обов'язки, а не лише те, що у заявці вказані правильні імена.
Це має найбільше значення для криптокомпаній на початковому етапі, які залучають досвідчених фахівців з питань комплаєнсу на умовах неповного робочого дня або в якості консультантів, щоб посилити заявку на отримання дозволу. Регулятор буде бачити, скільки саме годин на місяць ця особа присвячує роботі, і порівнюватиме цю цифру з обсягом обов'язків та послугами, які компанія має намір надавати.
Невідповідність між відповідальністю та витраченим часом є тривожним сигналом, а не формальністю.
Функції внутрішнього контролю: структура, а не посади
Розуміння колективної придатності на рівні керівного органу — це лише частина картини. Стаття 68(4) MiCA вимагає від CASP прийняти політики та процедури, «достатньо ефективні для забезпечення дотримання вимог». Стаття 68(5) вимагає наявності персоналу з відповідними знаннями на кожному рівні компанії. Стаття 68(6) вимагає від керівного органу періодично переглядати ефективність цих заходів та усувати будь-які виявлені недоліки.
Проект RTS від ESMA йде ще далі. Він вимагає від компаній визначити конкретні функції внутрішнього контролю та задокументувати для кожної з них:
- Підпорядкованість безпосередньо керівному органу.
- Як функція діє незалежно від бізнес-напряму, який вона контролює.
- Як функція може звертатися до керівного органу на плановій основі та в екстрених (ад-хок) випадках, коли виявляється значний ризик недотримання вимог.
Три функціональні сфери, що становлять основу цієї системи внутрішнього контролю, є такими:
- Функція дотримання вимог (регуляторні зобов'язання, політика поведінки, внутрішні процедури).
- Функція оцінки ризиків (виявлення ризиків, методологія оцінки, протоколи ескалації).
- Функція внутрішнього аудиту (незалежний перегляд ефективності, періодична оцінка).
Примітка: Функція AML/CFT та функція забезпечення безперервності бізнесу також є обов’язковими складовими заявки на авторизацію, але ESMA розглядає їх як окремі організаційні вимоги поряд із цією основною системою внутрішнього контролю.
MiCA не завжди надає ці точні позначення у тексті Рівня 1. Технічні стандарти ESMA чітко визначають, що ці основні сфери внутрішнього контролю повинні мати призначених відповідальних осіб, задокументовані сфери відповідальності та підтверджену структурну незалежність.
Саме в останньому пункті багато заявок виявляють структурні недоліки.
Функція комплаєнсу, яка підпорядковується головному операційному директору, який також керує доходами та розвитком бізнесу, не є незалежною в регуляторному сенсі. Функція управління ризиками, вбудована в торговельний відділ і підпорядкована тій самій ланцюжкові керівництва, що й відділ, який вона має контролювати, також не відповідає стандарту.
Регулюючий орган вимагатиме організаційної структури. Потім він запитає, кому насправді підпорядковується керівник відділу комплаєнсу, які інші обов'язки має ця особа та які права на ескалацію вона має у разі виявлення серйозного ризику комплаєнсу.
Створення заявки на ліцензію CASP на основі реальної структури незалежності вимагає, щоб архітектура була розроблена до складання заявки, а не модифікована згодом.
Фізична присутність: проблема номінального директора
У заявці на отримання дозволу має бути вказано фізичне місце ефективного управління в межах ЄС. Це означає адресу головного офісу, адреси філій (за необхідності) та реальну географію прийняття рішень у компанії.
- Принаймні один директор, який здійснює реальну владу, повинен бути резидентом Союзу та доступним для національного компетентного органу (NCA) держави-члена походження.
- Зареєстрована адреса в юрисдикції ЄС, підкріплена домовленістю про номінального директора, не відповідає цьому стандарту.
- Вимога щодо сутності означає, що фактична вага прийняття рішень повинна фактично знаходитися в межах Союзу.
Національні компетентні органи оцінюють це за допомогою полів щодо місцезнаходження у заявці на RTS та інформації про час, присвячений роботі, кожного члена керівного органу.
Директор, який фізично перебуває в ЄС протягом двох тижнів на квартал, не вважається директором-резидентом у будь-якому значущому регуляторному сенсі.
Це питання має особливе значення для компаній, що працюють із глобальних штаб-квартир за межами ЄС і прагнуть отримати ліцензію на криптовалютну діяльність у Європі. Суб’єкт, що базується в ЄС, повинен функціонувати як реальна одиниця прийняття рішень, а не як адміністративний фасад для групової структури, що працює з іншого місця.
Забезпечення безперервності бізнесу належить до компетенції команди з питань комплаєнсу
Безперебійність бізнесу зазвичай розглядається як відповідальність ІТ-відділу. Згідно з MiCA та Законом про цифрову операційну стійкість (DORA), таке трактування є неправильним для будь-якого авторизованого CASP.
Політика безперервності бізнесу повинна розроблятися, затверджуватися та підтримуватися керівним органом. DORA (Регламент ЄС 2022/2554) регулює елементи, що стосуються інформаційно-комунікаційних технологій, а CASP підпадають під сферу дії DORA як фінансові суб'єкти. Ці дві системи діють одночасно, і служба комплаєнсу повинна бути здатна орієнтуватися в обох одночасно.
У другому консультаційному документі ESMA щодо MiCA було введено конкретне зобов'язання для компаній, що працюють на основі технології розподілених реєстрів без дозволу (публічні блокчейни, такі як Ethereum): проактивна, структурована комунікація з клієнтами під час будь-яких перебоїв у роботі на рівні DLT.
Компанія повинна інформувати клієнтів про те, чи перебувають їхні кошти під загрозою, та надавати чітке уявлення про те, як здійснюється відновлення послуг. Компанія залишається повністю відповідальною за будь-які збитки, що виникають внаслідок її власних смарт-контрактів, незалежно від того, чи є базовий блокчейн бездозвільним.
Це не є стандартною політикою щодо перебоїв у роботі ІТ-систем. Для того щоб повноцінно виконувати це зобов'язання, керівний орган повинен розуміти ризики інфраструктури DLT на рівні, що значно перевищує загальні технічні знання.
Команда з питань комплаєнсу, яка може описати ризики блокчейну лише в загальних рисах, не зможе розробити, переглянути або підтримувати політику безперервності бізнесу, яка відповідатиме вимогам регуляторного контролю.
Стандарти даних як засіб забезпечення комплаєнсу
Обов'язки функції комплаєнсу поширюються на архітектуру даних. CASP, що експлуатують торгові платформи, повинні використовувати стандарт Digital Token Identifier (DTI) для всього обліку та звітності перед національними регуляторними органами. DTI однозначно ідентифікує кожен криптоактив і пов'язує його з конкретною DLT, на якій він випущений, торгується або розраховується. Це дозволяє регуляторам здійснювати транскордонний нагляд на основі узгоджених, порівнянних даних.
Стандарти обміну повідомленнями ISO 20022 регулюють формат транзакційних даних, що подаються до органів влади. Дані про прозорість до та після торгівлі повинні розкриватися через недискримінаційні, машиночитані публічні канали для запобігання зловживанням на ринку. Кожна з цих вимог має технічний аспект, який команда з дотримання нормативних вимог повинна контролювати сама, а не сліпо делегувати ІТ-відділу.
Компанія, яка розглядає ведення обліку як загальне завдання системного адміністрування, без нагляду за дотриманням конкретних стандартів даних, що вимагаються RTS, зіткнеться з проблемами нагляду після отримання дозволу.
Стандарти існують саме для того, щоб національні компетентні органи (NCA) могли порівнювати записи сотень CASP в рамках одного аналізу. Компанія, яка не може надати дані у необхідному форматі, не може продемонструвати постійну відповідність вимогам.
Це є практичним значенням стандарту «єдиного мозку». Команда з питань дотримання вимог об’єднує розуміння регуляторних вимог, структуру управління, операційні знання про технології розподіленого реєстру (DLT) та технічну грамотність щодо даних у єдину функціональну здатність. Жоден із цих елементів не може бути повністю переданий на аутсорсинг іншій функції.
Створення команди перед розробкою заявки
Заявка на отримання ліцензії CASP MiCA за документує установу, яка вже існує. Саме ця ментальна модель відрізняє компанії, які ефективно проходять цей процес, від тих, що застрягають.
Компанії, які прагнуть отримати ліцензію на криптобіржу, дозвіл на зберігання цифрових активів або будь-яку іншу ліцензію CASP в Європі, повинні підходити до формування команди як до першого результату, а не як до чогось, що складається в процесі підготовки заявки.
Функція комплаєнсу повинна бути структурно незалежною ще до написання першого документа. Необхідно оцінити колективні знання керівного органу та усунути будь-які прогалини до початку розгляду NCA. Розкриття інформації щодо затрат часу має бути реалістичним ще до її подання.
Така сама логіка застосовується у всьому світі. Компанії, які подають заявки на ліцензію VASP у юрисдикціях поза межами ЄС, дедалі частіше стикаються з паралельними стандартами: регулятори на Близькому Сході, в Азіатсько-Тихоокеанському регіоні та Америці сходяться на схожих вимогах щодо пріоритету змісту над формою при розробці функції комплаєнсу.
Стандарт ЄС, який є найдетальнішим і технічно найконкретнішим із тих, що діють на даний момент, є корисним орієнтиром для будь-якої команди, яка прагне отримати статус регульованого суб’єкта в будь-якій великій юрисдикції.
«Ми — це DeFi, тому MiCA на нас не поширюється». На жаль, Європейське управління з банківської діяльності (EBA) та Європейська організація з цінних паперів та ринків (ESMA) дотримуються іншої думки
MiCA ставить під сумнів твердження про децентралізацію DeFi, оскільки регулятори аналізують питання контролю, управління та дотримання нормативних вимог. read more.
Читати
«Ми — це DeFi, тому MiCA на нас не поширюється». На жаль, Європейське управління з банківської діяльності (EBA) та Європейська організація з цінних паперів та ринків (ESMA) дотримуються іншої думки
MiCA ставить під сумнів твердження про децентралізацію DeFi, оскільки регулятори аналізують питання контролю, управління та дотримання нормативних вимог. read more.
Читати«Ми — це DeFi, тому MiCA на нас не поширюється». На жаль, Європейське управління з банківської діяльності (EBA) та Європейська організація з цінних паперів та ринків (ESMA) дотримуються іншої думки
ЧитатиMiCA ставить під сумнів твердження про децентралізацію DeFi, оскільки регулятори аналізують питання контролю, управління та дотримання нормативних вимог. read more.
Ключовий висновок
Міф: Призначення відповідального за комплаєнс та MLRO задовольняє вимоги MiCA щодо комплаєнсу.
Реальність: MiCA вимагає функціонуючого органу комплаєнсу, а не переліку посад.
Три фактори визначають, чи відповідає керівний орган стандарту:
Колективний обсяг знань. Команда, як єдине ціле, повинна володіти традиційними знаннями у сфері фінансових ринків, компетентністю у галузі технологій розподіленого реєстру (DLT) та кібербезпеки, а також здатністю до організаційного управління. Прогалини в будь-якій з цих сфер є структурними недоліками, а не питанням переваг у профілі.
Документально підтверджена структурна незалежність. Основні функції внутрішнього контролю (комплаєнс, оцінка ризиків та внутрішній аудит) повинні мати призначеного відповідального, пряму підпорядкованість керівному органу та підтверджену незалежність від бізнес-напряму, яке вони контролюють. (Примітка: AML/CFT та забезпечення безперебійної діяльності є однаково обов’язковими, але розглядаються як окремі організаційні стовпи). Організаційна схема, яка пропускає функцію комплаєнсу через підрозділ, що генерує дохід, не витримає перевірки національного компетентного органу.
Реальна інституційна сутність. Часові зобов’язання мають бути справжніми та задокументованими. Фізична присутність в ЄС має відображати фактичну вагу у прийнятті рішень, а не лише зареєстровану адресу. Політика забезпечення безперервності бізнесу має бути підпорядкована на рівні керівного органу. Звітність щодо даних має відповідати стандартам DTI та ISO 20022 з першого дня.
Заявка на ліцензію CASP є кінцевим результатом. Архітектура комплаєнсу є фундаментом. Спочатку побудуйте фундамент.
Ця стаття базується на дослідженні, проведеному LegalBison у квітні 2026 року. Зміст статті має виключно інформаційний характер і не є юридичною порадою.
