Организационная структура с правильными должностными названиями не поможет вам получить лицензию. Регулирующий орган ищет именно архитектуру обеспечения соответствия: задокументированную независимость, совокупный опыт в трёх отдельных областях знаний и реальную институциональную основу. Именно так этот стандарт работает на практике.
«MiCA Decoded» — это еженедельная серия из 12 статей для Bitcoin.com News, написанная в соавторстве соучредителями и управляющими директорами LegalBison: Аароном Глауберманом, Виктором Юскиным и Сабиром Алиевым. LegalBison консультирует крипто- и FinTech-компании по вопросам лицензирования MiCA, подачи заявок на CASP и VASP, а также по вопросам регуляторного структурирования в Европе и за ее пределами.
Миф: достаточно аутсорсинга должности специалиста по комплаенсу
Когда основатели начинают планировать получение разрешения на деятельность в качестве поставщика услуг по криптоактивам (CASP), разговор почти всегда доходит до одного и того же момента: «Итак, нужно ли нам нанимать сотрудника по комплаенсу?»
Иногда за этим вопросом следует следующий: «А сотрудника по отчетности о отмывании денег (MLRO)? Это все?»
Ответ на оба вопроса — да. Но рассматривать эти две должности как конечную цель — это самое распространенное и серьезное заблуждение относительно того, что MiCA на самом деле требует от функции комплаенса.
Регулирующие органы не проверяют, есть ли в организационной структуре правильные должностные названия. Они оценивают, обладает ли руководящий орган в целом знаниями, структурной независимостью и документированной операционной глубиной, необходимыми для управления регулируемым финансовым учреждением. Лицензия MiCA выдается не физическому лицу. Она выдается организации.
Именно это различие лежит в основе того, почему так много заявок на ранней стадии застревают или требуют значительной доработки, прежде чем национальный компетентный орган (NCA) выдаст разрешение.
Что на самом деле означает «коллективно» в регламенте
Статья 68(1) MiCA четко определяет этот момент. Члены органа управления должны обладать соответствующими знаниями, навыками и опытом «как индивидуально, так и коллективно». Это единственное слово — «коллективно» — играет важную роль в регулировании.
Совместные руководящие принципы EBA и ESMA по вопросам соответствия членов руководящего органа и акционеров требованиям для организаций, подпадающих под действие MiCA, четко определяют механизм применения этого стандарта, перечисляя конкретные области профессионального опыта, которыми должен обладать руководящий орган. Эйра Ярви, старший юрист LegalBison, изложила конкретные требования в таблице ниже.
Категория требований Подробное описание Регулирование финансовых рынков Понимание финансовых инструментов и финансовых инструментов на основе технологии распределенного реестра (DLT), включая нормативные требования в соответствии с SIBA и другим применимым законодательством Соблюдение требований AML/CTF Знание требований AML/CTF, включая стратегии выявления, оценки и снижения рисков Виртуальные активы Знание типов виртуальных активов, включая токены, привязанные к активам, и токены электронных денег, а также рисков, связанных с каждым из них Защита данных Понимание обязательств по защите данных, относящихся к деятельности Компании Управление рисками Понимание принципов и процедур управления рисками, включая рыночные, кредитные риски и риски ликвидности Управление и внутренний контроль Способность оценивать эффективность механизмов корпоративного управления, надзора и внутреннего контроля Цифровая операционная устойчивость Знание требований, связанных с операционной устойчивостью Стратегические и управленческие знания Опыт в области стратегического планирования, развития бизнеса и реализации бизнес-целей Управление сторонними организациями Понимание механизмов аутсорсинга, управления сторонними поставщиками и соответствующих нормативных требований Коммуникация и надзор Способность излагать мнения, обсуждать стратегии и, при необходимости, оспаривать решения руководства для обеспечения эффективного надзора Бухгалтерский учет и аудит Умение интерпретировать финансовую информацию, выявлять ключевые проблемы и понимать соответствующие стандарты бухгалтерского учета и аудита Знание правовых и нормативных требований Знание правовых требований, применимых к VASP, включая выпуск и управление виртуальными активами
При анализе руководящих принципов ESMA становится ясно, что совокупный профиль руководящего органа должен явно охватывать три основные области знаний, которые включают все те, что подробно описаны Эйрой:
- Традиционные финансовые рынки: нормативные рамки, обязательства по защите инвесторов, правила поведения на рынке и операционные стандарты, применимые к лицензированным поставщикам финансовых услуг.
- Инфраструктура технологии цифровых реестров (DLT) и кибербезопасность: архитектура блокчейна, риски на уровне протоколов, риски, связанные со смарт-контрактами, моделирование киберугроз и конкретные операционные уязвимости, возникающие при предоставлении услуг в цепочке.
- Бизнес-стратегия и организационное управление: разработка системы управления рисками, архитектура внутреннего контроля, политика управления, а также способность оценивать и периодически пересматривать эффективность соблюдения нормативных требований компанией.
Регулятор не ожидает, что один человек будет владеть всеми тремя областями. Ожидание, закрепленное требованием ESMA о том, чтобы компании представляли оценку своей «коллективной пригодности», заключается в том, что команда в целом должна охватывать все эти области без существенных пробелов.
Управляющий орган, состоящий исключительно из специалистов с традиционным финансовым образованием, в котором нет ни одного человека, способного оценить риски инфраструктуры DLT, является структурно неполноценным еще до подачи заявки.
То же самое верно и в обратном направлении: технически сильная команда, специализирующаяся на криптовалютах, в которой нет ни одного человека, понимающего правила поведения на регулируемых финансовых рынках, столкнется с такой же тщательной проверкой.
Проблема временных затрат, о которой никто не говорит
Существует второй аспект стандарта коллективной пригодности, который застает заявителей врасплох.
Подходящие люди должны существовать на практике, а не только на бумаге. Каждый член руководящего органа должен документально подтвердить в письменной форме минимальное время, которое он готов посвятить компании: в частности, оценку времени, уделяемого данной должности (с указанием как годовых, так и месячных показателей), наряду с официальным заявлением обо всех других исполнительных и неисполнительных должностях, которые он занимает в настоящее время.
Проект технических стандартов ESMA по вопросам лицензирования (взятый из первого пакета консультаций) четко определяет это. Оценка охватывает то, присутствует ли каждый человек функционально, а не просто номинально.
Неисполнительный директор, занимающий четыре других места в совете директоров и имеющий отношения консультанта по вопросам комплайенса с двумя дополнительными компаниями, подвергнется непосредственной проверке. Национальный компетентный орган должен убедиться, что руководящий орган действительно может выполнять свои обязанности, а не просто что в заявке указаны нужные имена.
Это имеет наибольшее значение для криптокомпаний на ранней стадии развития, которые привлекают опытных специалистов по комплаенсу на неполной занятости или в качестве консультантов для укрепления заявки на получение разрешения. Регулятор будет точно видеть, сколько часов в месяц уделяет этому человек, и сравнит эту цифру с объемом обязанностей и услугами, которые компания намеревается предоставлять.
Несоответствие между ответственностью и затрачиваемым временем является тревожным сигналом, а не формальностью.
Функции внутреннего контроля: структура важнее должностей
Понимание коллективной пригодности на уровне руководящего органа — это лишь часть картины. Статья 68(4) MiCA требует от CASP принятия политик и процедур, «достаточно эффективных для обеспечения соблюдения требований». Статья 68(5) требует наличия персонала с соответствующими знаниями на всех уровнях компании. Статья 68(6) требует от руководящего органа периодически проверять эффективность этих механизмов и устранять любые обнаруженные недостатки.
Проект RTS ESMA идет еще дальше. Он требует от компаний определить конкретные функции внутреннего контроля и задокументировать для каждой из них:
- Подчинение непосредственно руководящему органу.
- Как функция работает независимо от бизнес-направления, которое она контролирует.
- Как функция может обращаться к органу управления на плановой основе и в экстренных (ад хок) случаях, когда обнаруживается значительный риск несоблюдения требований.
Три функциональные области, составляющие основу этой системы внутреннего контроля:
- Функция обеспечения соблюдения требований (нормативные обязательства, политики поведения, внутренние процедуры).
- Функция оценки рисков (выявление рисков, методология оценки, протоколы эскалации).
- Функция внутреннего аудита (независимая проверка эффективности, периодическая оценка).
Примечание: Функция ПОД/ФТ и функция обеспечения непрерывности бизнеса также являются обязательными составляющими заявки на получение разрешения, но ESMA рассматривает их как отдельные организационные требования наряду с этой основной системой внутреннего контроля.
MiCA не всегда присваивает эти точные обозначения в тексте Уровня 1. Технические стандарты ESMA четко указывают, что эти основные области внутреннего контроля должны иметь назначенных ответственных лиц, задокументированные сферы ответственности и подтвержденную структурную независимость.
Именно в этом последнем пункте многие заявки выявляют структурный недостаток.
Функция комплаенса, подчиняющаяся главному операционному директору, который также управляет доходами и развитием бизнеса, не является независимой в регуляторном смысле. Функция управления рисками, встроенная в торговую площадку и отчитывающаяся по той же цепочке, что и площадка, которую она должна контролировать, также не соответствует стандарту.
Регулирующий орган запросит организационную структуру. Затем он спросит, кому на практике подчиняется руководитель службы комплаенс, каковы другие обязанности этого лица и какими правами эскалации он обладает в случае выявления серьезного риска несоблюдения нормативных требований.
Составление заявки на получение лицензии CASP на основе реальной структуры независимости требует, чтобы архитектура была разработана до составления заявки, а не доработана задним числом.
Физическое присутствие: проблема номинального директора
В заявке на получение разрешения должно быть указано физическое место эффективного управления на территории ЕС. Это означает адрес головного офиса, адреса филиалов (если таковые имеются) и фактическую географию принятия решений в компании.
- По крайней мере один директор, обладающий реальной властью, должен проживать на территории Союза и быть доступным для национального компетентного органа (NCA) государства-члена, являющегося страной происхождения.
- Юридический адрес в юрисдикции ЕС, подкрепленный соглашением с номинальным директором, не соответствует этому стандарту.
- Требование о реальной деятельности означает, что решающая роль в принятии решений должна фактически находиться на территории Союза.
Национальные компетентные органы оценивают это на основе полей, касающихся местоположения, в заявке на RTS, а также на основе раскрытия информации о времени, уделяемом каждому члену органа управления.
Директор, физически присутствующий в ЕС в течение двух недель в квартал, не квалифицируется как резидент-директор в каком-либо значимом регуляторном смысле.
Это особенно важно для компаний, работающих из глобальной штаб-квартиры за пределами ЕС и стремящихся получить криптовалютную лицензию в Европе. Юридическое лицо, базирующееся в ЕС, должно функционировать как реальная единица принятия решений, а не как административный фасад для групповой структуры, действующей из других мест.
Обеспечение непрерывности бизнеса — задача команды по комплаенсу
Обеспечение непрерывности бизнеса широко рассматривается как обязанность ИТ-отдела. Согласно MiCA и Закону о цифровой операционной устойчивости (DORA), такая трактовка является неверной для любого авторизованного CASP.
Политика обеспечения непрерывности бизнеса должна разрабатываться, утверждаться и поддерживаться органом управления. DORA (Регламент ЕС 2022/2554) регулирует аспекты, специфичные для информационно-коммуникационных технологий, а CASP подпадают под сферу действия DORA как финансовые организации. Эти две нормативные базы действуют одновременно, и служба комплаенса должна уметь ориентироваться в обеих сразу.
Во втором консультационном документе ESMA по MiCA была введена конкретная обязанность для компаний, работающих на основе технологии распределенного реестра без разрешений (публичные блокчейны, такие как Ethereum): проактивное, структурированное общение с клиентами во время любого сбоя в работе услуг на уровне DLT.
Компания должна информировать клиентов о том, подвергаются ли их средства риску, и предоставлять четкое представление о том, как осуществляется управление возобновлением обслуживания. Компания несет полную ответственность за любые убытки, возникающие в результате использования ее собственных смарт-контрактов, независимо от того, является ли базовый блокчейн безразрешительным.
Это не стандартная политика на случай сбоев в работе ИТ-систем. Для того чтобы должным образом выполнять эту обязанность, руководство должно понимать риски инфраструктуры DLT на уровне, значительно превышающем общие технические знания.
Команда по обеспечению соответствия, которая может описать риски блокчейна только в общих чертах, не сможет разработать, пересмотреть или поддерживать политику обеспечения непрерывности бизнеса, которая удовлетворит требованиям регулирующих органов.
Стандарты данных как средство обеспечения комплаенса
Обязанности службы комплаенс распространяются на архитектуру данных. CASP, эксплуатирующие торговые платформы, должны использовать стандарт Digital Token Identifier (DTI) для всего учета и отчетности перед национальными регулирующими органами (NCA). DTI однозначно идентифицирует каждый криптоактив и связывает его с конкретной DLT, на которой он выпускается, торгуется или рассчитывается. Это позволяет регуляторам осуществлять трансграничный надзор с использованием согласованных и сопоставимых данных.
Стандарты обмена сообщениями ISO 20022 регулируют формат транзакционных данных, предоставляемых органам власти. Данные о прозрачности до и после торговли должны раскрываться через недискриминационные, машиночитаемые публичные каналы для предотвращения злоупотреблений на рынке. Каждое из этих требований имеет техническую составляющую, за которую должна отвечать команда по обеспечению соответствия, а не слепо делегировать ее ИТ-отделу.
Компания, которая рассматривает ведение учета как общую задачу системного администрирования, без надзора за соблюдением конкретных стандартов данных, требуемых RTS, столкнется с проблемами надзора после получения разрешения.
Стандарты существуют именно для того, чтобы национальные компетентные органы (NCA) могли сравнивать записи сотен CASP в рамках единого анализа. Компания, которая не может предоставить данные в требуемом формате, не может продемонстрировать постоянное соблюдение требований.
В этом заключается практическое значение стандарта «единого мозга». Команда по обеспечению соответствия объединяет понимание нормативных требований, структуру управления, операционные знания в области DLT и техническую грамотность в области данных в единую функциональную способность. Ни один из этих элементов не может быть полностью передан на аутсорсинг другой функции.
Сформируйте команду до начала разработки заявки
Заявка на получение лицензии CASP MiCA документирует уже существующую организацию. Именно эта ментальная модель отличает компании, которые эффективно проходят через процесс, от тех, которые застревают.
Компании, стремящиеся получить лицензию криптобиржи, разрешение на хранение цифровых активов или любую другую лицензию CASP в Европе, должны рассматривать архитектуру команды как первоочередную задачу, а не как нечто, что формируется по ходу подготовки заявки.
Функция комплаенса должна быть структурно независимой еще до написания первого документа. Необходимо оценить охват коллективных знаний руководящего органа и устранить любые пробелы до начала рассмотрения заявки национальным регулирующим органом (NCA). Раскрытие информации о временных затратах должно быть реалистичным до подачи заявки.
Та же логика применима во всем мире. Компании, подающие заявки на получение лицензии VASP в юрисдикциях за пределами ЕС, все чаще сталкиваются с аналогичными стандартами: регуляторы на Ближнем Востоке, в Азиатско-Тихоокеанском регионе и в Северной и Южной Америке сходятся во взглядах на аналогичные требования к содержанию, а не к форме при разработке структуры функции комплаенс.
Стандарт ЕС, который на данный момент является самым подробным и технически конкретным из действующих, служит полезным ориентиром для любой команды, стремящейся к получению статуса регулируемого субъекта в любой крупной юрисдикции.
Ключевой вывод
Миф: Назначение сотрудника по комплаенсу и MLRO удовлетворяет обязательствам по комплаенсу MiCA.
Реальность: MiCA требует функционирующего органа по комплаенсу, а не списка должностных названий.
Три фактора определяют, соответствует ли орган управления стандарту:
Объем коллективных знаний. Команда, рассматриваемая как единое целое, должна обладать экспертизой в области традиционных финансовых рынков, знаниями в сфере DLT и кибербезопасности, а также способностью к организационному управлению. Пробелы в любой из этих областей являются структурными недостатками, а не предпочтениями в профиле.
Документированная структурная независимость. Основные функции внутреннего контроля (комплаенс, оценка рисков и внутренний аудит) должны иметь назначенного ответственного, прямую линию отчетности перед руководящим органом и подтвержденную независимость от бизнес-направления, которое они контролируют. (Примечание: AML/CFT и обеспечение непрерывности бизнеса являются в равной степени обязательными, но рассматриваются как отдельные организационные столпы). Организационная структура, в которой функции комплаенса проходят через доходоприносящее подразделение, не выдержит проверки со стороны национального компетентного органа (NCA).
Реальная институциональная сущность. Время, выделенное на эти задачи, должно быть реальным и задокументированным. Физическое присутствие в ЕС должно отражать фактический вес в процессе принятия решений, а не просто зарегистрированный адрес. Политика обеспечения непрерывности бизнеса должна находиться в ведении органа управления. Отчетность по данным должна соответствовать стандартам DTI и ISO 20022 с самого первого дня.
Заявка на получение лицензии CASP — это конечный результат. Архитектура комплаенса — это фундамент. Сначала постройте фундамент.
Эта статья основана на исследовании, проведенном LegalBison в апреле 2026 года. Содержание предназначено исключительно для информационных целей и не является юридической консультацией.
Источник: cryptonews.net