Giải mã MiCA: Tại sao cơ quan quản lý coi đội ngũ tuân thủ của bạn như một bộ não duy nhất

MiCA Decoded là loạt bài gồm 12 bài viết hàng tuần cho Bitcoin.com News, được đồng tác giả bởi các Đồng sáng lập và Giám đốc điều hành của LegalBison: Aaron Glauberman, Viktor Juskin và Sabir Alijev. LegalBison tư vấn cho các công ty tiền điện tử và FinTech về cấp phép MiCA, đơn đăng ký CASP và VASP, cũng như cấu trúc quy định trên khắp châu Âu và các khu vực khác.

Lầm tưởng: Chỉ cần thuê ngoài một nhân viên tuân thủ là đủ

Khi các nhà sáng lập bắt đầu lập kế hoạch cho việc cấp phép nhà cung cấp dịch vụ tài sản kỹ thuật số (CASP), cuộc trò chuyện gần như luôn đi đến cùng một điểm: "Vậy, chúng ta có cần thuê một chuyên viên tuân thủ không?"

Đôi khi câu hỏi đi kèm với một câu hỏi tiếp theo: "Và một Chuyên viên Báo cáo Rửa tiền (MLRO)? Thế là xong?"

Câu trả lời cho cả hai là có. Nhưng coi hai vị trí này là đích đến cuối cùng chính là sự hiểu lầm phổ biến và nghiêm trọng nhất về những gì MiCA thực sự yêu cầu từ chức năng tuân thủ.

Các cơ quan quản lý không kiểm tra xem sơ đồ tổ chức có các chức danh công việc đúng hay không. Họ đánh giá xem cơ quan quản lý, với tư cách là một đơn vị thống nhất, có kiến trúc kiến thức, sự độc lập về mặt cấu trúc và độ sâu hoạt động được ghi chép đầy đủ để vận hành một tổ chức tài chính được cấp phép hay không. Giấy phép MiCA không được cấp cho một cá nhân. Nó được cấp cho một tổ chức.

Sự khác biệt này là lý do cốt lõi khiến rất nhiều đơn đăng ký ở giai đoạn đầu bị đình trệ hoặc phải sửa đổi đáng kể trước khi Cơ quan có thẩm quyền quốc gia (NCA) cấp phép.

“Tập thể” thực sự có nghĩa là gì trong quy định

Điều 68(1) của MiCA rất rõ ràng về điểm này. Các thành viên của cơ quan quản lý phải sở hữu kiến thức, kỹ năng và kinh nghiệm phù hợp “cả về mặt cá nhân lẫn tập thể”. Từ “tập thể” duy nhất đó đang thực hiện một nhiệm vụ quy định quan trọng.

Hướng dẫn chung của EBA và ESMA về tính phù hợp của các thành viên cơ quan quản lý và cổ đông đối với các thực thể thuộc phạm vi MiCA đã làm rõ cơ chế của tiêu chuẩn đó bằng cách liệt kê các lĩnh vực kinh nghiệm chuyên môn cụ thể mà cơ quan quản lý phải có. Eira Järvi, Luật sư cao cấp tại LegalBison, đã tóm tắt các yêu cầu cụ thể trong bảng dưới đây.

Khi phân tích các hướng dẫn của ESMA, rõ ràng là hồ sơ tổng hợp của cơ quan quản lý phải chứng minh được rằng họ nắm vững ba lĩnh vực kiến thức cốt lõi, bao gồm tất cả những nội dung được Eira nêu chi tiết:

• Thị trường tài chính truyền thống: Khung pháp lý, nghĩa vụ bảo vệ nhà đầu tư, quy tắc ứng xử trên thị trường và các tiêu chuẩn hoạt động áp dụng cho các nhà cung cấp dịch vụ tài chính được cấp phép.
• Cơ sở hạ tầng Công nghệ sổ cái kỹ thuật số (DLT) và an ninh mạng: Kiến trúc blockchain, rủi ro ở cấp độ giao thức, rủi ro hợp đồng thông minh, mô hình hóa mối đe dọa an ninh mạng và các lỗ hổng hoạt động cụ thể phát sinh từ việc cung cấp dịch vụ trên chuỗi.
• Chiến lược kinh doanh và quản trị tổ chức: Thiết kế quản lý rủi ro, kiến trúc kiểm soát nội bộ, chính sách quản trị và khả năng đánh giá và xem xét định kỳ hiệu quả tuân thủ của công ty.

Cơ quan quản lý không mong đợi một cá nhân nào đó nắm giữ cả ba lĩnh vực này. Kỳ vọng này, được chính thức hóa thông qua yêu cầu của ESMA rằng các công ty phải nộp bản đánh giá về "sự phù hợp tập thể" của họ, là đội ngũ, khi xem xét tổng thể, phải bao quát tất cả các lĩnh vực này mà không có khoảng trống đáng kể.

Một cơ quan quản lý hoàn toàn đến từ nền tảng tài chính truyền thống, không có ai có khả năng đánh giá rủi ro cơ sở hạ tầng DLT, về mặt cấu trúc là không đầy đủ trước khi đơn đăng ký được nộp.

Điều tương tự cũng áp dụng ngược lại: một đội ngũ chuyên sâu về kỹ thuật tiền điện tử nhưng không có ai hiểu rõ về hoạt động của thị trường tài chính được quản lý sẽ phải đối mặt với sự xem xét kỹ lưỡng tương tự.

Vấn đề cam kết thời gian mà không ai đề cập

Có một lớp yêu cầu khác trong tiêu chuẩn "phù hợp tập thể" khiến các đơn vị nộp đơn bất ngờ.

Những người phù hợp phải thực sự tồn tại trong thực tế, không chỉ trên giấy tờ. Mỗi thành viên của cơ quan quản lý phải lập văn bản ghi nhận cam kết thời gian tối thiểu dành cho công ty: cụ thể là ước tính thời gian dành cho vai trò đó (bao gồm cả chỉ số hàng năm và hàng tháng), cùng với tuyên bố chính thức về tất cả các chức vụ giám đốc điều hành và không điều hành khác mà họ đang nắm giữ.

Các tiêu chuẩn kỹ thuật quy định dự thảo của ESMA về cấp phép (dựa trên gói tham vấn đầu tiên) rất rõ ràng về điều này. Việc đánh giá xem xét liệu mỗi người có thực sự tham gia hoạt động hay chỉ được liệt kê trên danh sách.

Một thành viên không điều hành có bốn vị trí hội đồng quản trị khác và mối quan hệ tư vấn tuân thủ với hai công ty khác sẽ phải đối mặt với sự kiểm tra trực tiếp. Cơ quan quản lý cần được thuyết phục rằng cơ quan quản lý có thể thực sự thực hiện các nhiệm vụ của mình, chứ không chỉ là các tên đúng xuất hiện trong đơn đăng ký.

Điều này đặc biệt quan trọng đối với các công ty tiền điện tử giai đoạn đầu, những công ty mời các chuyên gia tuân thủ giàu kinh nghiệm tham gia với tư cách bán thời gian hoặc tư vấn để củng cố đơn xin cấp phép. Cơ quan quản lý sẽ xem xét chính xác số giờ mỗi tháng mà người đó cam kết, và sẽ so sánh con số đó với phạm vi vai trò và các dịch vụ mà công ty dự định cung cấp.
Sự không phù hợp giữa trách nhiệm và cam kết thời gian là một dấu hiệu cảnh báo, không phải là một chi tiết kỹ thuật.

Các chức năng kiểm soát nội bộ: Cấu trúc hơn là chức danh

Hiểu rõ tính phù hợp tập thể ở cấp độ cơ quan quản lý chỉ là một phần của bức tranh. Điều 68(4) của MiCA yêu cầu các CASPs phải ban hành các chính sách và quy trình "đủ hiệu quả để đảm bảo tuân thủ". Điều 68(5) yêu cầu nhân sự có kiến thức phù hợp ở mọi cấp độ của công ty. Điều 68(6) yêu cầu cơ quan quản lý phải định kỳ đánh giá hiệu quả của các biện pháp đó và khắc phục bất kỳ thiếu sót nào được phát hiện.

Dự thảo RTS của ESMA còn đi xa hơn nữa. Chúng yêu cầu các công ty xác định các chức năng kiểm soát nội bộ cụ thể và ghi chép, đối với từng chức năng:

• Dòng báo cáo trực tiếp đến cơ quan quản lý.
• Cách thức chức năng này hoạt động độc lập với lĩnh vực kinh doanh mà nó giám sát.
• Cách thức chức năng này có thể tiếp cận cơ quan quản lý theo lịch trình và trong trường hợp khẩn cấp (ad hoc) khi phát hiện rủi ro tuân thủ đáng kể.

Ba lĩnh vực chức năng tạo thành cốt lõi của khung kiểm soát nội bộ này là:

• Chức năng tuân thủ (nghĩa vụ pháp lý, chính sách hành vi, quy trình nội bộ).
• Chức năng đánh giá rủi ro (xác định rủi ro, phương pháp đánh giá, quy trình báo cáo lên cấp trên).
• Chức năng kiểm toán nội bộ (đánh giá hiệu quả độc lập, đánh giá định kỳ).

Lưu ý: Chức năng AML/CFT và chức năng Tiếp tục Hoạt động Kinh doanh cũng là các trụ cột bắt buộc trong đơn xin cấp phép, nhưng ESMA coi chúng là các yêu cầu tổ chức riêng biệt bên cạnh khung kiểm soát nội bộ cốt lõi này.

MiCA không phải lúc nào cũng gán các nhãn cụ thể này trong văn bản Cấp 1. Các Quy định Kỹ thuật của ESMA (RTS) làm rõ rằng các lĩnh vực kiểm soát nội bộ cốt lõi này phải có người chịu trách nhiệm được chỉ định, phạm vi trách nhiệm được ghi chép và tính độc lập cấu trúc được xác minh.

Điểm cuối cùng này chính là nơi nhiều đơn đăng ký bộc lộ lỗ hổng cấu trúc.

Một chức năng tuân thủ báo cáo trực tiếp cho Giám đốc Điều hành (COO), người cũng quản lý doanh thu và phát triển kinh doanh, không được coi là độc lập theo nghĩa quy định. Một chức năng quản lý rủi ro được nhúng trong bộ phận giao dịch, báo cáo lên theo cùng một hệ thống chỉ huy với chính bộ phận mà nó được giao nhiệm vụ giám sát, cũng không đáp ứng tiêu chuẩn này.

Cơ quan quản lý sẽ yêu cầu sơ đồ tổ chức. Sau đó, họ sẽ hỏi người đứng đầu bộ phận tuân thủ thực tế báo cáo cho ai, những trách nhiệm khác của người đó là gì, và họ có quyền báo cáo lên cấp trên nào khi phát hiện ra rủi ro tuân thủ nghiêm trọng.
Xây dựng hồ sơ xin giấy phép CASP dựa trên một cấu trúc độc lập thực sự đòi hỏi kiến trúc phải được thiết kế trước khi soạn thảo hồ sơ, chứ không phải được bổ sung sau đó.

Thực thể vật lý: Vấn đề Giám đốc đại diện

Đơn xin cấp phép phải ghi rõ địa điểm thực tế của cơ quan quản lý hiệu quả bên trong EU. Điều này bao gồm địa chỉ trụ sở chính, các chi nhánh (nếu có) và khu vực ra quyết định thực sự của công ty.

• Ít nhất một giám đốc thực hiện quyền hạn thực sự phải cư trú trong Liên minh và có thể tiếp cận được với NCA của quốc gia thành viên nơi đặt trụ sở.
• Địa chỉ đăng ký tại một khu vực pháp lý của EU được hỗ trợ bởi thỏa thuận giám đốc được đề cử không đáp ứng tiêu chuẩn này.
• Yêu cầu về thực chất có nghĩa là trọng lượng ra quyết định của con người phải thực sự nằm trong Liên minh.

Các Cơ quan Quản lý Quốc gia (NCAs) đánh giá điều này thông qua các trường thông tin về địa điểm trong đơn đăng ký RTS và thông qua các thông tin về cam kết thời gian của từng thành viên cơ quan quản lý.

Một thành viên hội đồng quản trị chỉ có mặt tại EU hai tuần mỗi quý không đủ điều kiện là thành viên hội đồng quản trị cư trú theo bất kỳ nghĩa quy định nào có ý nghĩa.

Đây là điểm đặc biệt quan trọng đối với các doanh nghiệp hoạt động từ trụ sở toàn cầu bên ngoài EU đang hướng tới việc xin giấy phép tiền điện tử tại châu Âu. Thực thể có trụ sở tại EU phải hoạt động như một đơn vị ra quyết định thực sự, chứ không phải là một mặt trận hành chính cho cấu trúc tập đoàn hoạt động từ nơi khác.

Việc duy trì hoạt động kinh doanh thuộc trách nhiệm của đội ngũ tuân thủ

Tính liên tục kinh doanh thường được coi là trách nhiệm của bộ phận CNTT. Theo MiCA và Đạo luật Khả năng phục hồi Hoạt động Kỹ thuật số (DORA), cách tiếp cận này là không chính xác đối với bất kỳ CASP được cấp phép nào.

Chính sách Tiếp tục Hoạt động phải do cơ quan quản lý sở hữu, phê duyệt và duy trì. DORA (Quy định EU 2022/2554) điều chỉnh các yếu tố cụ thể liên quan đến công nghệ thông tin và truyền thông, và các CASP nằm trong phạm vi áp dụng của DORA với tư cách là các thực thể tài chính. Hai khung pháp lý này hoạt động song song, và chức năng tuân thủ phải có khả năng xử lý cả hai cùng lúc.

Tài liệu tham vấn MiCA lần thứ hai của ESMA đã đưa ra một nghĩa vụ cụ thể đối với các công ty hoạt động trên công nghệ sổ cái phân tán không cần xin phép (các blockchain công khai như Ethereum): giao tiếp chủ động, có cấu trúc với khách hàng trong bất kỳ sự gián đoạn dịch vụ nào ở cấp độ DLT.

Doanh nghiệp phải cập nhật cho khách hàng về việc liệu tiền của họ có gặp rủi ro hay không và cung cấp một bức tranh rõ ràng về cách thức quản lý việc khôi phục dịch vụ. Doanh nghiệp vẫn phải chịu trách nhiệm hoàn toàn đối với bất kỳ tổn thất nào phát sinh từ các hợp đồng thông minh của chính mình, bất kể blockchain cơ sở có phải là blockchain không cần cấp phép hay không.

Đây không phải là chính sách gián đoạn IT tiêu chuẩn. Việc thực hiện nghĩa vụ này một cách có ý nghĩa đòi hỏi cơ quan quản lý phải hiểu rủi ro cơ sở hạ tầng DLT ở mức độ vượt xa nhận thức kỹ thuật chung.

Đội ngũ tuân thủ chỉ có thể mô tả rủi ro blockchain ở mức độ chung chung sẽ không thể soạn thảo, xem xét hoặc duy trì chính sách liên tục kinh doanh đáp ứng sự giám sát của cơ quan quản lý.

Tiêu chuẩn dữ liệu như một năng lực tuân thủ

Trách nhiệm của chức năng tuân thủ mở rộng sang kiến trúc dữ liệu. Các CASP vận hành nền tảng giao dịch phải sử dụng tiêu chuẩn Digital Token Identifier (DTI) cho tất cả các hoạt động lưu trữ hồ sơ và báo cáo cho các cơ quan quản lý (NCAs). DTI xác định duy nhất mỗi tài sản tiền điện tử và liên kết nó với nền tảng DLT cụ thể mà nó được phát hành, giao dịch hoặc thanh toán. Điều này cho phép các cơ quan quản lý thực hiện giám sát xuyên biên giới với dữ liệu nhất quán và có thể so sánh.

Các tiêu chuẩn tin nhắn ISO 20022 quy định định dạng dữ liệu giao dịch được gửi đến các cơ quan chức năng. Dữ liệu minh bạch trước và sau giao dịch phải được công bố qua các kênh công khai không phân biệt đối xử và có thể đọc được bằng máy để ngăn chặn lạm dụng thị trường. Mỗi yêu cầu này đều có khía cạnh kỹ thuật mà đội ngũ tuân thủ phải chịu trách nhiệm, không được ủy quyền một cách mù quáng cho bộ phận CNTT.

Một tổ chức coi việc lưu trữ hồ sơ là nhiệm vụ quản trị hệ thống chung, mà không có sự giám sát tuân thủ đối với các tiêu chuẩn dữ liệu cụ thể mà RTS yêu cầu, sẽ gặp vấn đề giám sát sau khi được cấp phép.

Các tiêu chuẩn tồn tại chính xác để các Cơ quan Quản lý Quốc gia (NCAs) có thể so sánh hồ sơ giữa hàng trăm Nhà cung cấp Dịch vụ Thanh toán (CASP) trong một phân tích duy nhất. Một tổ chức không thể cung cấp dữ liệu theo định dạng yêu cầu là tổ chức không thể chứng minh tuân thủ liên tục.

Đây là ý nghĩa thực tiễn của tiêu chuẩn "bộ não duy nhất". Đội ngũ tuân thủ tích hợp nhận thức về quy định, cấu trúc quản trị, kiến thức vận hành DLT và hiểu biết về dữ liệu kỹ thuật thành một năng lực hoạt động duy nhất. Không có yếu tố nào trong số đó có thể được ủy thác hoàn toàn cho một chức năng khác.

Xây dựng đội ngũ trước khi xây dựng ứng dụng

Đơn xin cấp phép CASP theo MiCA ghi nhận một tổ chức đã tồn tại. Đó chính là mô hình tư duy phân biệt các doanh nghiệp tiến hành quy trình một cách hiệu quả với những doanh nghiệp bị đình trệ.

Các doanh nghiệp đang theo đuổi giấy phép sàn giao dịch tiền điện tử, giấy phép lưu ký tài sản kỹ thuật số hoặc bất kỳ giấy phép CASP nào khác tại châu Âu cần xem kiến trúc đội ngũ là sản phẩm đầu tiên cần hoàn thiện, chứ không phải là thứ được hình thành trong quá trình soạn thảo đơn xin cấp phép.

Chức năng tuân thủ phải độc lập về mặt cấu trúc trước khi tài liệu đầu tiên được soạn thảo. Phạm vi kiến thức chung của cơ quan quản lý phải được đánh giá và mọi lỗ hổng phải được khắc phục trước khi quá trình xem xét của Cơ quan Quản lý Quốc gia (NCA) bắt đầu. Các cam kết về thời gian phải thực tế trước khi được nộp.

Lý luận tương tự áp dụng trên toàn cầu. Các doanh nghiệp xin giấy phép VASP tại các khu vực pháp lý ngoài EU ngày càng gặp phải các tiêu chuẩn tương đồng: các cơ quan quản lý tại Trung Đông, Châu Á-Thái Bình Dương và Châu Mỹ đang thống nhất các yêu cầu "nội dung hơn hình thức" tương tự về thiết kế chức năng tuân thủ.

Tiêu chuẩn EU, hiện là tiêu chuẩn chi tiết và kỹ thuật nhất đang có hiệu lực, là một tiêu chuẩn tham chiếu hữu ích cho bất kỳ đội ngũ nào đang xây dựng hướng tới trạng thái được cấp phép tại bất kỳ khu vực pháp lý lớn nào.

Điểm chính cần lưu ý:

Quan niệm sai lầm: Việc bổ nhiệm một cán bộ tuân thủ và một Trưởng bộ phận chống rửa tiền (MLRO) là đủ để đáp ứng các nghĩa vụ tuân thủ theo MiCA.

Thực tế: MiCA yêu cầu một cơ chế tuân thủ hoạt động hiệu quả, chứ không phải chỉ là danh sách các chức danh công việc.

Ba yếu tố quyết định liệu cơ quan quản lý có đáp ứng tiêu chuẩn hay không:

Phạm vi kiến thức tập thể. Nhóm, được xem như một đơn vị, phải bao quát chuyên môn về thị trường tài chính truyền thống, trình độ về công nghệ sổ cái phân tán (DLT) và an ninh mạng, cũng như năng lực quản trị tổ chức. Những lỗ hổng trong bất kỳ lĩnh vực nào đều là thiếu sót về cấu trúc, không phải là sự ưu tiên về hồ sơ cá nhân.

Sự độc lập cấu trúc được ghi nhận. Các chức năng kiểm soát nội bộ cốt lõi (tuân thủ, đánh giá rủi ro và kiểm toán nội bộ) phải có người chịu trách nhiệm cụ thể, đường dây báo cáo trực tiếp đến cơ quan quản lý, và sự độc lập được xác minh so với lĩnh vực kinh doanh mà họ giám sát. (Lưu ý: AML/CFT và kế hoạch duy trì hoạt động kinh doanh cũng bắt buộc, nhưng được xem là các trụ cột tổ chức riêng biệt). Sơ đồ tổ chức chuyển hướng chức năng tuân thủ qua một bộ phận tạo doanh thu sẽ không qua được sự kiểm tra của Cơ quan Quản lý Quốc gia (NCA).

Bản chất tổ chức thực sự. Cam kết về thời gian phải là thật và được ghi chép. Sự hiện diện vật lý tại EU phải phản ánh trọng lượng quyết định thực tế, chứ không chỉ là địa chỉ đăng ký. Chính sách liên tục kinh doanh phải do cơ quan quản lý chịu trách nhiệm. Báo cáo dữ liệu phải tuân thủ các tiêu chuẩn DTI và ISO 20022 ngay từ ngày đầu.

Đơn xin cấp phép CASP là kết quả đầu ra. Kiến trúc tuân thủ là nền tảng. Hãy xây dựng nền tảng trước tiên.

Bài viết này dựa trên một nghiên cứu do LegalBison thực hiện vào tháng 4 năm 2026. Nội dung chỉ mang tính chất thông tin và không cấu thành tư vấn pháp lý.