Od roku 2016 buduji COREDO jako společnost, která odstraňuje regulatorní nejistotu pro podnikatele a finanční ředitele. Za tu dobu tým COREDO zajišťoval licence a nastavoval provozní modely v EU, Velké Británii, v Česku, na Slovensku, na Kypru, v Estonsku, Litvě, Singapuru a v Dubaji. V tomto článku jsem shromáždil praktická doporučení pro licencování CASP, se zaměřením na kapitál, personál, AML a technologickou odolnost. Opírám se o zkušenosti z četných projektů, abyste hned viděli, kde leží hlavní hodnota a jak se vyhnout nákladným chybám.
Proč právě teď MiCA a globální dohled
Evropské nařízení MiCA zavádí obecné požadavky pro CASP ohledně kapitálu, organizační struktury a ochrany klientů, a také poskytuje mechanismy passportingu v EU. Praxe COREDO potvrzuje: nový režim zvyšuje vstupní práh, ale při správné přípravě urychluje škálování napříč regiony a snižuje fragmentaci požadavků. Bereme v úvahu, že MiCA a kapitálové požadavky pro CASP vážou vlastní prostředky na sadu služeb a fixní režijní náklady.
Výběr jurisdikce a vstup na trh
Rozhodnutí o výběru jurisdikce a vytvoření modelu vstupu na trh určují právní, daňové a obchodní rámce expanze. Níže postupně rozebereme, jak se tyto faktory projevují v kontextu EU: od regulatorní harmonizace po požadavky na hospodářskou substanci.
Regulační harmonizace v EU
MiCA vytváří jednotná pravidla, ale v praxi si každá země zachovává specifika dohledu a očekávání ohledně lokální přítomnosti. Hospodářská substance a místní přítomnost CASP nejsou formalitou: reální rezidentní ředitelé, kancelář, stálý MLRO a řídící funkce v rámci země posilují pozici při podání žádosti. V COREDO předem navrhujeme organizační strukturu CASP pro licencování a připravujeme pasportní strategii, aby bylo možné následně využívat přeshraniční služby CASP bez duplicitních licencí.
Estonsko, Malta, Litva nabízejí odlišné bariéry vstupu. V Estonsku minimální základní kapitál VASP závisí na poskytovaných službách a obvykle se pohybuje od 100 tis. do 250 tis. eur; požadavky na personál a kontrolu byly od roku 2022 zpřísněny. Na Maltě klasifikace VFA zvyšuje laťku z hlediska kapitálu a governance: u pokročilejších tříd jde o stovky tisíc eur a posílenou vnitřní kontrolu. Litva aktivně přijímá krypto‑byznys: registrace VASP je možná, ale banky a platební poskytovatelé očekávají potvrzenou substanci a vyzrálý AML‑rámec.
Hloubka a modely dohledu ve čtyřech zemích
FCA vede přísnou registraci kryptospolečností: neexistuje formální minimum kapitálu, ale vlastní prostředky CASP musí pokrývat rizika a fixní náklady a personál musí prokázat kompetence a nezávislost compliance funkcí. FINMA a švýcarští kantonální regulátoři praktikují vysokou úroveň prověrek custody řešení a odpovědnosti ředitelů. V Singapuru pod dohledem MAS podle PSA pro poskytovatele DPT závisí minimální kapitál a security deposit na objemu operací; očekávají se zralé procesy v oblasti kyberbezpečnosti a správy klíčů. V Dubaji VARA klade jasné požadavky na produktovou dokumentaci, outsourcing kritických funkcí a SLA s poskytovateli.
SNS: most k EU a Asii
Kapitál pro CASP: termíny a výpočty
Pro správné řízení kapitálu v rámci CASP je důležité nejprve si vybudovat jasné porozumění klíčovým termínům, než přejdete k praktickým výpočtům. V první části si vysvětlíme základní terminologii a regulatorní logiku, abychom položili základy pro další metody hodnocení kapitálu a konkrétní výpočty.
Terminologie a regulatorní logika
Kapitál versus likvidita: regulátor pro CASP vyžaduje obojí. Kapitál je polštář proti ztrátám, likvidita je schopnost plnit závazky a odolat odlivům. Řada jurisdikcí aplikuje prvky ICAAP: interního hodnocení kapitálu, včetně stresových testů, a rizikově vážená aktiva (RWA) se přizpůsobují povaze krypto-expozic a provozních rizik.
Rizika, stresové testy a kapitalizace
Jak vypočítat kapitálovou potřebu pro kryptoburzu? Vezmeme minimální statutární kapitál CASP, přidáme rezervu k FOE (fixed overheads) na 12–18 měsíců, zohledníme požadavky na rezervní kapitál CASP pro custody a krytí kyberrizik. Strategie kapitalizace při škálování CASP zahrnují dodatečné emise, podřízený dluh (subordinated debt) jako zdroj regulatorního kapitálu v rámci limitů, a pojištění kyberrizik, které nepřímo snižuje čisté ztráty ve stresových scénářích.
Financování a korporátní kroky
Personál: způsobilost a bezúhonnost a organizační uspořádání
Efektivita společnosti do značné míry závisí na personálu, na dodržování principů fit and proper a na promyšleném organizačním designu. V následujících bodech podrobně rozebereme požadavky na personál a role vedoucích, abychom pochopili, jak budovat kompetence, odpovědnost a manažerská interakce uvnitř organizace.
Požadavky a role vedoucích
Role MLRO, CCO, CTO, CFO, CIO v CASP rozdělují odpovědnost: MLRO: řízení AML a SAR; CCO – obecné compliance rámce a reporting; CTO/CIO – bezpečnost, klíče, infrastruktura; CFO: kapitál, likvidita, výkazy. Odpovědnost ředitelů a personálu CASP je osobní: regulátor posuzuje jejich rozhodnutí, řízení střetu zájmů v managementu CASP a nezávislost kontrol.
Efektivita náboru a prověrek
Postupy náboru a prověrek personálu pro CASP zahrnují background checks, ověření životopisu, trestní bezúhonnosti a sankční čistoty ředitele, verifikaci vzdělání a skutečných úspěchů. Příprava CV a důkazů zkušeností pro žadatele CASP by měla být věcná: projekty, KPI, dosažené implementace, certifikace. Složení oddělení compliance a AML v CASP budujeme z MLRO, KYC/KYB analytiků, důstojníka pro sankce, důstojníka pro reporting a nezávislého interního auditora.
Provozní stálé náklady na personál CASP je třeba plánovat na 12–18 měsíců dopředu. Ukazatele efektivity compliance funkce (KRI, KPI) zahrnují SLA pro KYC, dobu zpracování alertů, podíl eskalací, kvalitu SAR, a také ukazatele ROI z investic do compliance personálu. Hodnocení ekonomické efektivity náboru vs outsourcingu ukazuje: některé funkce je výhodné mít interně, jiné předat externímu poskytovateli. Compliance funkce: interní vs centralizovaná pro skupinu CASP: často hybridní model s koordinací na úrovni holdingu.
Nástupnictví, motivace a udržení
Technologie, bezpečnost a odolnost
Spolehlivé technologie, nedílný základ pro zajištění bezpečnosti a provozní odolnosti služeb. Dále podrobně probereme praktiky úschovy, segregace a správy klíčů, které jsou kriticky důležité pro ochranu aktiv a udržení provozu při incidentech.
Úschova a správa klíčů
Pojištění aktiv a krytí ztrát klientů snižují provozní rizika; pojištění kyberrizik a kapitálové požadavky jsou provázány: dostupnost adekvátního krytí může ovlivnit hodnocení residual risk v ICAAP. Smlouvy s poskytovateli likvidity a pákového financování musí omezovat protistranná rizika, a outsourcing burzovních engineů a SLA pro kritické funkce vyžadují transparentní RTO/RPO.
Dodržování předpisů a ochrana soukromí
Technologické požadavky: SOC2, ISO27001, pravidelné pentesty, řízení zranitelností a kontrola přístupu. Politiky kontinuity podnikání a zálohování podporují provozní odolnost, a hlášení incidentů a spolupráce s regulátorem snižují regulatorní rizika při výpadcích. Praktiky prevence úniků osobních údajů (GDPR/PDPA) a integrace HR a compliance pro kontrolu přístupu k aktivům uzavírají podstatné bezpečnostní mezery.
Nezávislost kontroly kvality
interní audit a kontrola kvality personálu CASP hodnotí efektivitu první a druhé linie obrany. Kritické funkce lze outsourcovat, ale odpovědnost zůstává na ředitelích; stanovujeme kontrolní KPI dodavatele a nezávislé monitorování. Spolupráce s externími auditory a přezkum kapitalizace pomáhá prokázat zralost řízení rizik.
Žádost o licenci: dokumenty a proces
Správně sestavené dokumenty a nastavený proces podání jsou klíčem k úspěšné žádosti, a kontrolní body pomohou sledovat připravenost v každé fázi. Začneme organizačními otázkami, poté rozebreme požadavky na substanci a zakončíme praktickou částí – podnikatelským plánem, který potvrzuje ekonomické odůvodnění projektu.
Podstata organizace a podnikatelského plánu
Produktová dokumentace podrobně popisuje custody-řetězce, postupy směny, brokeridž, limity pro operace klientů a maržová rizika. Segregace zákaznických prostředků je zakotvena ve smlouvách a provozních instrukcích s ohledem na regulatorní pokyny týkající se custodian vs exchange liabilities. Organizační struktura CASP pro licencování ukazuje nezávislost compliance a rizikových funkcí.
Struktura transakce: lhůty a náklady
Lhůty a náklady na získání licence CASP závisí na jurisdikci a připravenosti materiálů. V EU při kvalitním balíčku trvá posouzení od 3 do 9 měsíců, v Singapuru a Dubaji: déle u složitých modelů. Předem odhadujeme trvalé provozní náklady na personál CASP a zdroje financování pro licenci CASP, abychom se vyhnuli hotovostním propadům na konci.
Výkaznictví a kontrola v provozní fázi
V provozní fázi se klíčovými stávají spolehlivé výkaznictví a průběžná vnitřní kontrola k minimalizaci rizik a dodržování standardů. Zvlášť důležité jsou regulatorní výkaznictví a AML — vyžadují jasnou koordinaci postupů, průhlednost dat a rychlou reakci na incidenty.
AML a regulatorní výkaznictví
Postupy vnitřního výkaznictví a regulatorní zprávy zaznamenávají shodu s kapitálem a likviditou, bezpečnostní incidenty a změny v řízení (governance). Požadavky na výkaznictví o kapitálu a likviditě se liší, ale všude je potřeba transparentní evidence vlastních prostředků CASP a FOE. Výkaznictví v oblasti AML a hlášení podezřelé činnosti (Suspicious Activity Reports, SAR) vyžaduje kvalifikaci MLRO a přesnost postupů eskalace.
Řízení likvidity při praní špinavých peněz a prudkých výběrech se opírá o předem schválené limity a stresové plány. Nastavení limitů na klientské operace a maržová rizika snižuje pravděpodobnost náhlých prasknutí a tržních kaskád. Regulatorní pokuty a případy odmítnutí licence obvykle nastávají kvůli podkapitalizaci, slabému AML a nepotvrzeným zdrojům kapitálu; tým COREDO tyto situace řešil dokapitalizací a přepracováním KYC/KYB procesu.
Audit struktury, změny a ukončení
Regulatorní schválení změn kapitálové struktury a korporačních práv: standardní praxe při škálování. Externí auditoři ověřují kapitalizaci, IT kontroly a soulad s GDPR/PDPA. Postupy pro uzavření podnikání a ochrana zájmů klientů zahrnují plán vrácení aktiv, oznámení regulátorům a nezávislý audit segregace.
Případy COREDO: kde se rozhodují detaily
V Litvě tým COREDO realizoval projekt pro burzovní CASP s orientací na MiCA-pas. Klíčem byla strategie: minimální kapitál pro CASP jsme pokryli equity, a vlastní prostředky CASP jsme posílili podřízeným dluhem v rámci limitů. Implementovali jsme přístup ICAAP a stresové testy odtoků, přepočítali FOE na 18 měsíců a dosáhli komfortního hodnocení ze strany dozoru.
V Singapuru řešení vyvinuté v COREDO pomohlo poskytovateli DPT získat status vyhovující požadavkům PSA. Vytvořili jsme architekturu kompatibilní se SOC2, nasadili KMS/HSM a multisig, provedli pentest a zavedli reporting incidentů. MAS pozitivně ocenil kompetence MLRO a nezávislost interního auditu.
V Estonsku naše zkušenost v COREDO ukázala, jak kritické jsou personální požadavky pro kryptospolečnosti. Doplnili jsme tým silným MLRO, oddělili CCO a MLRO, posílili integraci Travel Rule, aktualizovali politiky AML s ohledem na AMLD6 a FATF. Výsledek: úspěšné přezkoumání licence, snížené riziko nařízení a stabilní vztahy s bankami.
V Dubaji tým COREDO vybudoval outsourcing burzovních enginů s přísnými SLA, uzavřel dohody s kustodiány a podmínky úschovy, zajistil pojištění aktiv a kybernetických rizik. To umožnilo snížit kapitálové příplatky vůči provozním rizikům a urychlit schválení VARA. Také jsme zavedli KPI/KRI pro compliance, aby bylo transparentně demonstrováno ROI na úrovni představenstva.
Kontrolní seznamy pro licenci CASP
- Kapitál a likvidita:
- Vlastní prostředky (own funds): minimum a FOE ≥ 25% ročních výdajů.
- Dokladování zdrojů kapitálu: bankovní výpisy, SPA, audit.
- Plán dokapitalizace: další emise, subordinated debt, pojištění kyberrizik.
- Rezervy likvidity a stresové testy: odtoky prostředků, margin calls, výpadky poskytovatelů.
- Personál a řízení:
- Posouzení způsobilosti a poctivosti (fit and proper) pro vedení CASP; nezávislý CCO, kvalifikovaný MLRO.
- Postup ověřování životopisu, trestních záznamů a absence na sankčních seznamech ředitele.
- Plán nástupnictví vedení; výbory Risk, Audit, RemCo; střet zájmů.
- Modely odměňování a rizikově orientované bonusy; KPI/KRI compliance.
- Technologie a bezpečnost:
- Segregace klientských prostředků; studené/teplé peněženky, KMS, HSM, multisig.
- KYT: Chainalysis/Elliptic/TRM; poskytovatel Travel rule; sankční seznamy.
- SOC2/ISO27001; pentest; BCP/DR; hlášení incidentů a kontakt s regulátorem.
- SLA s outsourcingovými partnery; smlouvy s kustody a poskytovateli likvidity.
- Dokumenty a proces:
- Organizační diagram a popis funkcí; lokální substance.
- Podnikatelský plán: produkty, modely příjmů, stresová scénária, finanční prognózy.
- Politiky AML/CTF, sankce, KYC/KYB, hlášení SAR; interní výkaznictví.
- Plán passportingu v EU; posouzení daňových a licenčních důsledků.
Plánování nákladů a návratnost investic
Hodnocení ekonomické efektivity náboru vs outsourcingu vyžaduje porovnání TCO: mzdy, školení a certifikace zaměstnanců v oblasti AML/CTF, licence softwaru, externí auditoři. Metriky návratnosti investic do compliance a bezpečnosti se měří snížením ztrát z incidentů, odmítnutí bankovních vztahů, pokut a lhůt spojených s licencováním. Techniky optimalizace nákladů na personál a compliance zahrnují centralizované centrum odbornosti pro skupinu, sjednocení politik a sdílené služby.
Plánování počtů zaměstnanců při vstupu na nové trhy předpokládá zvýšení zátěže na MLRO a IT-bezpečnost, stejně jako posílení Travel Rule a reportingu. Hodnocení ekonomické efektivity s ohledem na kapitálové prahové požadavky podle jurisdikcí (EU/Asie/SNS) pomáhá vybrat optimální cestu škálování. porovnání jurisdikcí podle bariéry vstupu a nákladů na personál zaznamenáváme do finančního modelu, abychom podpořili rozhodnutí představenstva.
Trendy a doporučení
Regulační trendy: posílení kapitálových požadavků po incidentech a upřesnění regulačních pokynů ohledně povinností depozitáře vs závazků burzy. Benchmarking kapitálových požadavků mezi EU a Asií ukazuje rostoucí důraz na FOE a operační riziko. Dopad pojištění kryptoměn na kapitálové požadavky se stává zřetelným: regulátoři pozitivně vnímají reálná krytí s minimálními výjimkami.
Řízení likvidity a prudkého nárůstu odlivů se stává klíčovou kompetencí. Řízení střetu zájmů, role představenstva a výborů, opatření ke snížení operačního a reputačního rizika: to vše ovlivňuje hodnocení «fit and proper» organizace. Zdanění a požadavky na vykazování pro CASP vyžadují průběžnou kalibraci při změnách produktové nabídky a geografie.
Poučení z praxe COREDO
V jednom z projektů dozor inicioval zrušení licence kvůli nedostatku kapitálu po tržních výkyvech a nárůstu FOE. Tým COREDO v krátkém čase připravil plán dokapitalizace, zajistil podřízený dluh, aktualizoval ICAAP a stresové scénáře. Regulační orgán přijal úpravy a klient se vyhnul zastavení provozu a posílil likvidní rezervy.
Jiný případ se týkal travel rule: poskytovatel nedodržoval SLA a AML alerty se hromadily. Řešení vyvinuté v COREDO zahrnovalo výměnu poskytovatele, přepracování logiky alertů, KPI pro tým a zvýšení kompetencí MLRO. Za dva měsíce se doba zpracování snížila třikrát a SAR byly přesnější co do struktury i obsahu.
Zvlášť zmíním projekt přechodu z dceřiné společnosti na pobočku v EU. Předem jsme zhodnotili dopady na licence, upravili kapitál a interní reporty a dohodli změny governance. Výsledkem bylo, že klient zachoval passporting a optimalizoval daňovou pozici bez regulačních prodlení.
Jak získat čas a snížit rizika
Čím dříve proměníte regulatorní požadavky v konkrétní plán, tím snazší bude škálovat podnikání a chránit zájmy klientů. Regulátoři v EU, Velké Británii, Švýcarsku, Singapuru a Dubaji očekávají od CASP totéž, co od zavedených finančních subjektů: dostatečný kapitál, odpovědné vedení, transparentnost a stabilitu provozu. Praxe COREDO potvrzuje: právě tyto principy činí krypto byznys dlouhodobým a předvídatelným.