仅凭一份列有正确职位名称的组织架构图,是无法获得牌照的。监管机构真正关注的是合规架构:有据可查的独立性、覆盖三个不同知识领域的集体专业知识,以及真正的机构实质。这就是该标准在实践中的运作方式。
MiCA深度解析:监管机构为何将您的合规团队视为“单一大脑”
分享
《MiCA 解码》是 Bitcoin.com News 推出的每周系列专栏,共 12 期,由 LegalBison 的联合创始人兼董事总经理 Aaron Glauberman、Viktor Juskin 和 Sabir Alijev 共同撰写。LegalBison 为加密货币和金融科技公司提供 MiCA 牌照申请、CASP 和 VASP 申请以及欧洲及全球范围内的监管架构规划咨询服务。
误区:外包一名合规官就足够了
当创始人开始规划加密资产服务提供商(CASP)授权事宜时,讨论几乎总会到达同一个节点:“那么,我们需要聘请合规官吗?” 有时这个问题还会引发后续追问:“还需要反洗钱报告官(MLRO)吗?就这样了吗?”
这两个问题的答案都是肯定的。但将这两项任命视为终点线,是对MiCA对合规职能实际要求的最常见且影响深远的误读。 监管机构并非在检查组织架构图中是否列有正确的职位名称。他们评估的是管理层作为整体,是否具备运营受监管金融机构所需的知识体系、结构独立性以及有据可查的运营深度。 MiCA牌照并非颁发给个人,而是颁发给一个有机整体。这一区别正是众多早期申请陷入停滞,或需进行重大修改后国家主管当局(NCA)才予授权的核心原因。
法规中“集体”一词的实际含义
《MiCA》第68(1)条对此规定得十分明确。管理机构成员必须“无论是个别还是集体”都具备相应的知识、技能和经验。这个单词“集体”承担着重要的监管职能。
欧洲银行管理局(EBA)与欧洲证券和市场管理局(ESMA)联合发布的关于《MiCA》下实体管理机构成员及股东适任性的指引,通过列举管理机构必须具备的专业经验具体领域,明确了该标准的实施细则。LegalBison的高级律师Eira Järvi在下表中概述了具体要求。
| 要求类别 | 详细说明 |
| 金融市场监管 | 了解金融工具及分布式账本技术(DLT)金融工具,包括《金融服务与市场法》(SIBA)及其他适用法律的监管要求 |
| 反洗钱/反恐融资合规 | 了解反洗钱/反恐怖融资(AML/CTF)要求,包括风险识别、评估及缓解策略 |
| 虚拟资产 | 了解虚拟资产类型,包括资产挂钩代币和电子货币代币,以及各自相关的风险 |
| 数据保护 | 了解与公司运营相关的数据保护义务 |
| 风险管理 | 了解风险管理原则和程序,包括市场、信用和流动性风险 |
| 治理与内部控制 | 能够评估治理安排、监督机制及内部控制的有效性 |
| 数字运营韧性 | 熟悉运营韧性相关的要求 |
| 战略与管理知识 | 在战略规划、业务发展及业务目标实施方面的经验 |
| 第三方管理 | 了解外包安排、第三方供应商管理及相关监管要求 |
| 沟通与监督 | 能够阐述观点、讨论战略,并在适当情况下对管理层的决策提出质疑,以确保有效的监督 |
| 会计与审计 | 具备解读财务信息、识别关键问题以及理解相关会计和审计标准的能力 |
| 法律与监管知识 | 熟悉适用于虚拟资产服务提供商(VASPs)的法律要求,包括虚拟资产的发行与管理 |
分析欧洲证券和市场管理局(ESMA)的指导方针后,可以明确看出,管理机构的综合资质必须切实涵盖三个核心知识领域,其中包括 Eira 所详述的所有内容:
- 传统金融市场:监管框架、投资者保护义务、市场行为规则,以及适用于持牌金融服务提供商的运营标准。
- 数字账本技术(DLT)基础设施与网络安全:区块链架构、协议层风险、智能合约风险敞口、网络安全威胁建模,以及链上服务交付所产生的特定运营漏洞。
- 商业战略与组织治理:风险管理设计、内部控制架构、治理政策,以及评估和定期审查公司合规有效性的能力。
监管机构并不期望由一人同时涵盖这三个领域。欧洲证券和市场管理局(ESMA)要求机构提交“集体适任性”评估,这一要求正式确立了监管机构的预期:即团队整体应全面覆盖所有领域,且不存在实质性缺口。
一个完全由传统金融背景人员组成的管理层,若无人具备评估DLT基础设施风险的能力,在提交申请前便已存在结构性缺陷。 反之亦然:一支技术深厚的加密原生团队,若无人理解受监管金融市场的运作规范,也将面临同样的审查。
无人提及的时间投入问题
“集体适格性”标准还存在一个常令申请者措手不及的层面。 合适的人选必须实际存在,而不仅仅是纸面上的名义。管理机构的每位成员都必须以书面形式记录其对公司的最低时间投入:具体而言,需估算该职位所需投入的时间(包括年度和月度指标),并正式声明其目前担任的所有其他执行董事和非执行董事职务。
欧洲证券和市场管理局(ESMA)关于授权的监管技术标准草案(源自首轮咨询文件)对此有明确规定。评估重点在于每个人是否在职能上切实履职,而不仅仅是名义上的列名。 一位身兼其他四家董事会席位,并为另外两家企业提供合规咨询服务的非执行董事,将面临直接审查。国家监管机构(NCA)需要确信管理层能够实际履行职责,而不仅仅是申请材料上列出了合适的人选。
这对于早期加密货币公司尤为重要——这些公司常以兼职或顾问身份引入经验丰富的合规人员,以增强授权申请的竞争力。监管机构将精确核查该人员每月投入的工时,并将其与该角色的职责范围及公司拟提供的服务进行比对。 职责与时间投入之间的脱节是重大警示信号,而非技术性问题。
内部控制职能:结构重于头衔
仅从管理层层面理解集体适任性只是冰山一角。《MiCA》第68(4)条要求加密资产服务提供商(CASPs)制定“足以确保合规”的政策和程序。第68(5)条要求企业在各层级配备具备相应知识的人员。第68(6)条要求管理层定期审查这些安排的有效性,并解决发现的任何缺陷。
欧洲证券和市场管理局(ESMA)的监管技术标准(RTS)草案进一步深化了这一要求。其要求机构明确具体的内部控制职能,并针对每一项职能记录:
- 报告线直接通向管理层。
- 该职能如何在其所监管的业务领域之外保持独立运作。
- 该职能如何在发现重大合规风险时,通过既定程序及紧急(临时)渠道向管理层汇报。
构成该内部控制框架核心的三个职能领域是:
- 合规职能(监管义务、行为准则、内部程序)。
- 风险评估职能(风险识别、评估方法、上报流程)。
- 内部审计职能(独立有效性审查、定期评估)。
注:反洗钱/打击恐怖主义融资(AML/CFT)职能和业务连续性职能也是授权申请的强制性支柱,但欧洲证券和市场管理局(ESMA)将其视为与该核心内部控制框架并行的独立组织要求。 《市场基础设施和资本市场条例》(MiCA)在第一级文本中并不总是明确标注这些具体名称。ESMA的监管技术标准(RTS)明确指出,这些核心内部控制领域必须有明确的负责人、记录在案的职责范围,并经过验证的结构性独立性。
最后一点正是许多申请材料暴露结构性缺陷之处。 向首席运营官(其同时负责收入和业务发展)汇报的合规职能,在监管意义上并不具备独立性。嵌入交易台内部、且通过与本应监督的交易台相同的汇报链向上汇报的风险职能,同样不符合标准。
监管机构会要求提供组织架构图。随后,监管机构将询问合规负责人实际向谁汇报、该负责人还承担哪些其他职责,以及在发现严重合规风险时其拥有何种上报权限。 围绕真正的独立性架构构建CASP牌照申请,要求在起草申请前就设计好架构,而非事后补救。
实体存在:名义董事问题
授权申请必须证明在欧盟境内设有实际管理场所。这意味着需提供总部地址、相关分支机构地址,以及该公司的真实决策地域范围。
- 至少有一名行使实际权力的董事必须居住在欧盟境内,且母国成员国国家监管机构(NCA)能够与其取得联系。
- 仅在欧盟某司法管辖区设有注册地址,并辅以名义董事安排,并不符合这一标准。
- 实质性要求意味着人类决策权必须实际位于欧盟境内。
监管机构(NCAs)将通过《监管技术标准》(RTS)申请中的地点字段,以及各管理层成员的时间投入披露情况来评估这一点。
一位每季度在欧盟境内实际停留两周的董事,在任何有实质意义的监管层面上都不符合“常驻董事”的资格。这一点对于那些从欧盟以外的全球总部运营、并正在争取欧洲加密货币牌照的企业尤为重要。位于欧盟的实体必须作为真正的决策单位运作,而非作为从其他地方运营的集团结构的行政幌子。
业务连续性属于合规团队
业务连续性通常被视为IT部门的职责。根据《加密资产市场条例》(MiCA)和《数字运营韧性法案》(DORA),对于任何获授权的加密资产服务提供商(CASP)而言,这种界定都是错误的。
业务连续性政策必须由管理层负责制定、批准并维护。《数字运营韧性法案》(DORA,欧盟法规2022/2554)规范了信息与通信技术领域的具体要素,而作为金融实体的CASP也属于DORA的监管范围。这两个框架同时生效,合规职能必须能够同时应对两者。
欧洲证券和市场管理局(ESMA)发布的第二份《加密资产市场条例》(MiCA)咨询文件,针对在无许可分布式账本技术(如以太坊等公共区块链)上运营的机构引入了一项具体义务:在发生任何分布式账本技术(DLT)层面的服务中断时,需主动、有条理地与客户进行沟通。
企业必须向客户通报其资金是否面临风险,并清晰说明服务恢复的处理流程。无论底层区块链是否为无许可型,企业仍需对其自身智能合约造成的任何损失承担全部责任。
这并非标准的IT系统中断政策。切实履行这一义务,要求管理层对DLT基础设施风险的理解必须远超一般技术认知水平。 仅能笼统描述区块链风险的合规团队,将无法起草、审核或维护出能经受监管审查的业务连续性政策。
数据标准作为合规能力
合规职能的职责范围延伸至数据架构。运营交易平台的加密资产服务提供商(CASPs)必须在所有记录保存及向国家监管机构(NCAs)的报告中采用数字代币标识符(DTI)标准。DTI可唯一标识每项加密资产,并将其与发行、交易或结算所依托的特定DLT建立关联。这使监管机构能够利用一致且可比的数据进行跨境监控。
ISO 20022 消息传递标准规范了提交给监管机构的交易数据格式。为防止市场滥用,交易前和交易后透明度数据必须通过非歧视性、可机读的公共渠道披露。这些要求均涉及技术层面,合规团队必须亲自负责,而非盲目地将工作委托给 IT 部门。
若某机构将记录保存视为一般系统管理任务,且未对RTS要求的具体数据标准进行合规监督,则在获得授权后将面临监管问题。 这些标准的设立,正是为了使国家主管机构(NCAs)能够通过单次分析对比数百家合规记录保存机构(CASPs)的记录。无法按要求格式提供数据的机构,即无法证明其持续合规。
这正是“单一大脑”标准的实际含义。合规团队将监管意识、治理结构、分布式账本技术(DLT)运营知识以及技术数据素养整合为一项统一的运作能力。这些要素均不可完全外包给其他职能部门。
先组建团队,再开发应用程序
申请CASP MiCA牌照的授权申请书,本质上是对一家已存在机构的记录。正是这种思维模式,区分了那些能高效推进流程的企业与那些陷入停滞的企业。在欧洲申请加密货币交易所牌照、数字资产托管授权或任何其他CASP牌照的企业,必须将团队架构视为首要交付成果,而非在起草申请过程中才逐步形成的产物。
在起草首份文件之前,合规职能部门必须在结构上保持独立。在国家监管机构(NCA)审查开始前,必须评估管理层的集体知识覆盖范围并填补任何缺口。提交时间承诺声明前,其内容必须切合实际。
这一逻辑同样适用于全球范围。在欧盟以外司法管辖区申请虚拟资产服务提供商(VASP)牌照的企业,正越来越多地面临相似的标准:中东、亚太及美洲地区的监管机构在合规职能设计方面,正趋向于采用“实质重于形式”的类似要求。欧盟标准作为当前生效的标准中最为详尽且技术性最强的,对于任何旨在获得主要司法管辖区监管资质的团队建设而言,都是有用的基准。
'我们是DeFi,因此《MiCA》不适用于我们。' 抱歉,但欧洲银行管理局(EBA)和欧洲证券和市场管理局(ESMA)对此有不同看法。
MiCA挑战DeFi去中心化主张,监管机构评估控制权、治理及合规规则。 read more.
立即阅读
'我们是DeFi,因此《MiCA》不适用于我们。' 抱歉,但欧洲银行管理局(EBA)和欧洲证券和市场管理局(ESMA)对此有不同看法。
MiCA挑战DeFi去中心化主张,监管机构评估控制权、治理及合规规则。 read more.
立即阅读'我们是DeFi,因此《MiCA》不适用于我们。' 抱歉,但欧洲银行管理局(EBA)和欧洲证券和市场管理局(ESMA)对此有不同看法。
立即阅读MiCA挑战DeFi去中心化主张,监管机构评估控制权、治理及合规规则。 read more.
关键要点 误区:任命一名合规官和一名反洗钱报告官(MLRO)即可满足《MiCA》的合规义务。 现实:MiCA要求的是一个运作有效的合规体系,而非一串职位头衔。
管理机构是否符合标准取决于以下三点: 知识覆盖的整体性。该团队作为整体,必须涵盖传统金融市场专业知识、分布式账本技术(DLT)和网络安全能力,以及组织治理能力。任何一个领域的缺失都属于结构性缺陷,而非人员配置的偏好问题。
有据可查的结构性独立性。核心内部控制职能(合规、风险评估和内部审计)必须有明确的负责人,直接向管理层汇报,并经核实与所监管的业务领域保持独立。(注:反洗钱/反恐怖融资和业务连续性同样是强制性要求,但被视为独立的组织支柱。)若组织架构图中合规职能需经由创收部门进行汇报,则无法通过国家监管机构的审查。
真正的机构实质。时间投入必须真实且有据可查。欧盟实体存在必须体现实际决策权重,而非仅为注册地址。业务连续性政策必须由管理层负责。数据报告必须从第一天起就符合DTI和ISO 20022标准。 CASP牌照申请是结果。合规架构是基础。先打好基础。
本文基于LegalBison于2026年4月进行的一项研究。本文内容仅供参考,不构成法律建议。
