注：本文中的文档/附件原件可向仁港永胜唐生 有偿索取电子档]

以下是由 仁港永勝（香港）有限公司（以下简称「我司」） 拟定、由 唐 生提供讲解的《在 马耳他共和国 申请 Markets in Crypto‑Assets Regulation（MiCA） 框架下之加密资产服务商（CASP）牌照完整指南》。本指南针对拟在欧盟市场（尤其马耳他）设立及运营加密资产服务机构者，提供实操流程、合规要求、申请条件、人员／股东董事要求、后续维护、续牌等一站式解读。建议委聘我司专业顾问团队承担文件准备、面谈辅导、监管沟通等支持服务，以提升获批成功率。

一、牌照介绍与申请优势

1. 牌照框架

• 欧盟已通过《Markets in Crypto-Assets Regulation（MiCAR）》作为统一加密资产服务商监管框架。

• 在马耳他，监管机构为 Malta Financial Services Authority（MFSA），其依据《Markets in Crypto‐Assets Act, 2024 (Cap. 647 of the Laws of Malta)》实施MiCA规则。

• CASP（Crypto-Asset Service Provider，加密资产服务提供商）为MiCAR下必须取得授权的机构，从事如接收/传送、交易、投资建议、资产管理、托管、交易平台运营等。

2. 申请优势

• 获得马耳他CASP牌照后，可通过欧盟“通行护照机制”在其他欧盟成员国开展服务，仅需向MFSA提交通报即可。

• 马耳他作为欧洲监管友好、英语环境、区块链与金融科技基础设施较成熟的国家，为加密资产服务商进入欧盟市场提供较良好选项。

• 通过牌照提升客户信任度、合规信誉，同时可强化公司治理、反洗钱体系与技术安全标准，减少运营法律合规风险。

3. 牌照分类（按服务范围）

根据MFSA／MiCA规则，CASP牌照可分为三个“Class”类别，视服务范围、最低资本要求而定：

• Class 1：基础服务，如执行订单、传送加密资产、提供投资建议、组合管理等。最低资本约 €50,000。

• Class 2：包括 Class 1 服务 + 托管/管理加密资产、加密-法定或加密-加密兑换服务。最低资本约 €125,000。

• Class 3：包括 Class 1 & 2 服务 + 交易平台操作服务。最低资本约 €150,000。

我司建议首先明确业务模型（只做 Class 1、或扩展至 Class 2/3）后，选择对应类别申请。

二、监管机构与适用法律

• 监管机构：马耳他金融服务管理局 (MFSA) 。

• 主要适用法律及文件包括：

  • 《Markets in Crypto-Assets Act, 2024 (Cap. 647)》。

  • “MiCA Rulebook”（2025 年3月由MFSA发布）详述申请、持续义务要求。

  • MFSA 发出的 “Circular to the Industry on the Authorisation Process for MiCA Applicants”（2024 年12月）明确 VFA （旧加密资产框架）向 MiCA 过渡安排。

三、申请条件概览

1. 公司实体与注册地

• 必须在马耳他设立合法公司（通常为私人有限责任公司 Ltd 或类似结构）。

• 注册地须在马耳他，具备注册地址、法定董事、公司秘书等。

• 若为已持 VFA （旧牌照）实体，在 2024 年12 月30 日前已获牌或提交申请的，可享受“祖父化”待遇。

2. 最低资本与财务要求

• 根据所申请类别（Class 1/2/3），应满足对应最低“自有资金”（own funds）要求：如约 €50k、€125k、€150k。

• 提交财政预测（至少前三财年）、审计安排、会计政策、资产负债表等。

• 若涉及客户加密资产托管、兑换等活动，还需具备客户资产隔离、保险或适当保障措施。

3. 治理结构、人员配备与适任性（Fit & Proper）

• 董事、关键职能人员（如 MLRO、合规官、风险主管）须具备良好声誉、合适经验、无重大违法或洗钱/恐怖融资背景。

• 申请人需提交有关董事／股东的背景资料、利益披露、履历、尽职调查。

• 建议设立专职合规官、反洗钱报告官（MLRO）、风险管理官、审计委员会等。

• 企业应具备治理机制：业务连续性、ICT 系统、内控审计、客户投诉处理等。

4. 业务模型与服务范围

• 明确拟提供之加密资产服务（如：传送、存储、兑换、交易平台、投资组合管理、建议等），并确认属于哪一 Class。

• 提供商业计划书：包括市场定位、目标客户群、收入模式、风险识别、合规策略、ICT／安全架构、实体驻场及运营计划。

5. 技术、运营与安全要求

• 必需具备适当的 ICT 架构、安全策略、网络-系统冗余、灾难恢复、业务连续性方案。

• 若涉及资产托管或客户资金/资产交换，需具备安全的冷钱包管理、冷热分离、权限签名、资产隔离措施。

• 反洗钱/反恐融资（AML/CFT）政策、客户尽职调查（KYC）、持续监控机制、交易可疑报告流程均为必备。

6. 适用客户与市场覆盖

• 若计划向欧盟或第三国客户提供服务，需明确服务方式、客户保护机制、跨境监管合规、护照机制策略。

7. 股东／资金来源与背景披露

• 股东及实际控制人需披露背景、资金来源、受益所有人身份、过往监管历史。

• 若为收购或重大股权变更，须向 MFSA 申请批准。

• 必须保证资金来源合法、可追溯、无洗钱或恐怖融资关联。

四、申请流程与时序安排

1. 预申请准备阶段

• 我司建议先进行内部项目评估：明确业务模型、选择 Class 类别、预算初估、拟定公司架构、关键职能人员招募。

• 向 MFSA 提交 “Statement of Intent”（意向声明）。

• 筹备公司设立、注册地址、董事任命、银行账户开立准备。

2. 正式申请提交

• 填写 MFSA 指定的 CASP 申请表格（2025年起在 MFSA 官网栏目提供）。

• 提交申请费、所需支持文档（详见下文“所需材料”部分）。

• MFSA 在收到申请后进行完整性检查。

3. 审查与审批阶段

• MFSA 按 MiCA 规则对申请人进行审查，包括：资本计划、治理结构、适任性评估、技术系统、安全控制、合规制度。

• 若为 VFA 旧牌实体（Category A），可适用简化流程。

• 审查期间若有补正要求，需及时响应。

• 预计总体耗时：从公司设立至最终牌照发放可能约 4-9 个月（视准备充分程度、审查复杂度）为常见估算。

4. 牌照授予与运营前准备

• 获得 “in-principle approval”后，需完成资本注入、系统测试、人员到位、内部制度落实、地址与账户激活等。

• 在 MFSA 确认所有前提条件已满足后，正式发牌并可开展业务。

5. 后续监管与持续义务

• 获牌后须向 MFSA 提交定期 CASP Return（2025 年起要求）并按照规则开展持续合规。

• 必须维持适当资本、客户资产隔离、安全机制、治理机制、定期审计、报告与披露义务。

• 当业务变更或控股结构发生重大变化时，须事前通知或申请 MFSA 批准。

五、所需材料清单

此为我司整理的申请材料建议清单，具体根据 MFSA 最新要求可能调整：

• 公司注册文件：公司章程、注册证书、注册地址、公司秘书资料。

• 股东／受益所有人资料：身份证件、护照、住址证明、股权结构图、实际受益人说明、资金来源说明。

• 董事、关键职能人员资料：简历、身份证明、住址证明、工作经历、符合 Fit & Proper 要求的声明。

• 商业计划书：包括业务模型、市场定位、服务范围、收入估算、成本预算、三年财务预测、风险管理。

• 内部制度文件：合规政策、AML/CFT政策、客户尽职调查流程、投诉处理制度、冲突利益政策、业务连续性计划、ICT安全政策、备灾恢复方案。

• 技术与运营说明：ICT架构图、安全控制说明、冷热钱包管理、资产隔离措施、交易系统流程、数据保护及隐私政策。

• 客户服务说明：服务流程、客户合同样本、条款与费率披露、投诉机制、客户适当性评价。

• 审计与会计说明：会计政策、审计安排、财务报表模板、专业责任保险（如适用）说明。

• 资金保障说明（若托管或兑换服务）：客户资产隔离机制、保险或类似保障方案说明。

• 风险管理说明：包括市场风险、操作风险、技术风险、洗钱/恐怖融资风险识别与控制机制。

• 移动、变更及退出说明：如控股变更、服务新增、退出机制说明。

• 申请费付款证明及相关官方收费文档。

此外，如申请人以前持有 VFA 框架下牌照，还需提交相关过渡文件。

六、董事/股东要求（详细说明）

股东／实际受益人要求

• 所有股东、尤其持有“重大持股”（qualifying holding）的自然人或法人，须通过 MFSA 的适任性（fit & proper）评估。

• 股东须披露完整受益所有结构、资金来源、历史监管或刑事记录、关联方关系。

• 若股权结构复杂、跨国或含控股企业，应提供穿透图、最终受益人说明。

• 股东须无重大不良记录（如洗钱、恐怖融资、金融犯罪、重大失信）且具备良好声誉。

董事／高级管理人员要求

• 董事会成员须具备适当专业经验、行业知识、诚信记录、能为公司提供战略指导。

• 关键职能人员（如 MLRO、合规官、风险主管）须具备对应职责经验及合规意识。

• 董事、高级管理人员须在董事会中投入足够时间，并与公司管理体制相匹配。

• 公司须设定明确职责分工、利益冲突政策、任职变更报告机制。

董事/股东变更监控

• 若存在董事或大股东变更、控股结构调整，须提前向 MFSA 提交通知或批准申请。

七、官方收费与预算概览

• 申请费与年度监管费依据 MFSA 《Markets in Crypto-Assets Act (Fees) Regulations, 2024 (L.N. 295/2024)》确定。

• 一般市场资料（截至2025）显示：

  • Class 1 申请费、年度费较低；Class 2 、Class 3 费用显著更高。

  • 举例：Class 1 申请费约 €10,000，年度监管费约 €10,000；Class 2 申请费约 €20,000、年度费 €25,000；Class 3 申请费约 €25,000、年度费 €50,000。

• 除官方费用外，建议预算还包括：顾问服务费（我司可承担）、法律／审计服务费、技术安全建设成本、合规制度制定成本、银行账户／支付通道准备、银行及开立运营成本、保险费用、资本金准备等。

• 我司建议提前制定三年预算并予以现金流测算，以便向 MFSA 提交。

八、后续维护与续牌条件

• 牌照获批后，公司必须持续满足 MiCA 及 MFSA 规则，包括资本充足、客户资产保护、技术安全、合规体系、内部审计与报告。

• 必须定期向 MFSA 提交 CASP Return （2025 年4月 30 日首次提交）。

• 必须在 MFSA 指定时间内申报重大变更（如：服务范围变更、控股结构变更、关键人员变动、技术平台重大变更）。

• 若公司不再提供牌照涵盖服务、或欲退牌，应按照 MiCA 规则提出注销或牌照转让申请。

• 建议每年至少举行一次董事会/合规会议，进行风险评估、系统审查、内控测试、IT 安全演练、客户投诉复盘。

• 若公司服务范围扩大或进入新欧盟国家，应考虑通报机制及跨境服务合规。

九、办理时间预估

• 公司设立（注册、银行账户、董事、秘书等）约 1-2 周。

• 文档准备（商业计划、合规制度、技术架构、安全方案、人员履历）约 2-4 周或更长，视准备深度。

• 申请提交后，完整性检查约 25 个工作日。

• 审查与审批阶段（MFSA 全面评估）约 40 个工作日或更长。

• 整体从公司成立到正式运营可能 4-9 个月。建议预留至少 6 个月缓冲。

十、常见问题 (FAQ)

Q1：已在马耳他持有 VFA 牌照，是否还需申请 CASP 牌照？
A1：如果您的公司在 2024 年12 月30 日前已获 VFA 牌照或已提交申请，可被分类为「Category A 实体」并享有过渡期限，但仍需根据 MFSA 指引提交 MiCA 转换或简化程序。
Q2：持有馬耳他CASP牌照後，可否即刻在全欧盟提供服务？
A2：是的，取得马耳他授权后可通过护照机制向其他欧盟成员国开展服务。但须向 MFSA 提交通报，并遵守目标国监管方程序。
Q3：最低资本金是多少？
A3：视服务类别而定，Class 1 约 €50,000，Class 2 约 €125,000，Class 3 约 €150,000。具体以最新 MFSA 要求为准。
Q4：董事或股东可否为非马耳他居民？
A4：一般可，但须满足适任性评估、具备合规经验、无重大不良记录。同时公司须在马耳他设立注册地址、当地法律秘书、董事会会议等合规要件。
Q5：申请后多久可获批？
A5：从准备阶段到运营启动，一般预估 4-9 个月。但若资料准备不齐、审查项复杂，可能更长。建议早期委聘顾问团队协助。
Q6：申请过程中是否必须有当地实体或营业办公室？
A6：须有注册地址、法定公司秘书与董事会运作，但实体规模、员工数量可根据业务模型而定。须具备实际运营能力、公司治理及技术／合规实力。
Q7：年度合规成本大概是多少？
A7：除年度监管费（按 MFSA 类别计）外，还包括审计费、合规/风险系统维护、IT安全、人员薪酬、保险、培训等。具体视公司规模、服务范围、客户数量而异。
Q8：若控股结构发生重大变更怎么办？
A8：须提前通知 MFSA 并提交相关变更申请或批准，否则可能触发监管风险。

十一、我司服务建议与配套说明

• 我司（仁港永勝）具备全球合规咨询经验，能提供以下全方位服务：

  • 申请前商业模型评估、类别选择建议

  • 编制申请文件（商业计划、合规制度、技术与运营说明、ICT／安全架构）

  • 董事／关键职能人员适任性准备、尽职调查、背景资料整理

  • 股东结构分析、受益所有人披露、资金来源审查

  • 与 MFSA 的沟通、面谈辅导、申报文档提交安排

  • 后牌照运营阶段合规建议、季度制度审查、报告流程辅导、系统审计支持

• 建议在项目初期即确认时间表、预算、里程碑，并定期由我司指导跟进。

• 如需深入合作，欢迎联系我们：

  • 香港：852-92984213（WhatsApp）

  • 深圳／微信：86 15920002080

  • 公司地址：深圳福田区卓越世纪中心1号楼11楼；香港湾仔轩尼诗道253-261号依时商业大厦18楼；香港九龙西九龙柯士甸道西1号环球贸易广场86楼

• 我司将为贵司量身定制流程图、申请资料清单、预算模型、关键人员任职建议表、合规制度模板等配套工具。

十二、马耳他CASP牌照下的合规与报告制度

1. 持续合规要求

持牌CASP必须建立一套完整的合规框架，涵盖反洗钱（AML）、客户尽职调查（KYC）、数据保护（GDPR）、信息安全（ICT）与风险管理五大核心领域。

• AML/KYC制度： 企业需根据《Prevention of Money Laundering Act（PMLA）》及MiCA Article 61–67 制定KYC政策，包括客户身份验证、风险分层、交易监控、可疑交易报告（STR）机制。

• 数据保护： 必须遵循GDPR及马耳他《Data Protection Act 2018》，明确数据处理者及控制者责任。

• 信息安全与ICT管控： MFSA要求建立安全策略、访问控制、灾难恢复计划（DRP）、系统审计记录（Logs）。

• 风险管理： 每年至少开展一次全面风险评估，内容涵盖市场风险、技术风险、流动性风险与操作风险。

2. 报告与审计

• 年度审计报告： 须经注册会计师审计并提交至MFSA备案。

• 合规报告： 由Compliance Officer编制，涵盖风险发现、补救措施及未来合规计划。

• MLRO年度报告： 反洗钱报告官须每年提交内部与外部报告，说明KYC执行状况及可疑交易处理。

• CASP Return（监管报表）： 自2025年4月起强制执行，需每季提交一次运营数据。

十三、护照机制（EU Passporting）

持牌CASP机构可在完成MFSA备案后，依据MiCA第 59 条获得跨境护照权利。

• 向MFSA提交“Cross-Border Notification” 文件，包括目标成员国、服务类型、营销计划及当地合规措施。

• MFSA审核通过后将在 20 个工作日内通报目标国监管机构。

• 企业可在全欧盟范围提供同类服务，而无需单独申请当地牌照。

• 护照机制的运用需确保本地合规、税务登记及客户保护措施同步落地。

十四、税务与法律配套

• 公司税率： 马耳他企业所得税为 35%，但通过股东退税机制（6/7 refund），有效税率约 5% 至 10%。

• 增值税（VAT）： 金融服务类业务通常免征；但若涉及顾问服务、非金融活动，需按 18% 申报。

• 国际税协： 马耳他签署逾 70 个双重征税协定，有利于跨境结构优化。

• 法律结构： 常用为 Private Limited Company（Ltd）或 Holding Structure；若涉及基金／托管服务，可结合 Foundations 或 Trust 结构。

十五、后续监管趋势与政策走向

• VFA→MiCA 过渡期： MFSA预计在 2025 年 12 月前完成全部转换，旧 VFA 实体必须提交 MiCA 重新授权申请。

• 技术审查趋严： 监管将加强对加密资产托管与平台系统安全的审查，包括冷钱包签名流程、私钥管理及数据加密。

• 反洗钱合规升级： 欧盟 6AMLD 及即将实施的 AML Authority（AMLA）将与 MiCA 形成协同监管。

• 稳定币监管（ART & EMT）： MFSA 将同步发布“Stablecoin Rulebook”，对资产担保、储备比例与发行披露提出额外要求。

十六、项目实操建议

仁港永勝建议申请人采用“三阶段实施法”：

1. 启动阶段（Preparation）
   - 明确商业模式、业务类别；
   - 筹备股东／董事文件及资金证明；
   - 起草商业计划书、风险控制及AML政策。

2. 申请阶段（Application）
   - 提交MFSA 表格及完整申请包；
   - 接受适任性审查（Fit & Proper Interview）；
   - 配合补件及技术问答。

3. 维护阶段（Post-Licence Compliance）
   - 建立年度合规审查机制；
   - 维持资本充足率、风险预警系统；
   - 定期进行董事会／MLRO会议纪要归档。

十七、仁港永勝可提供的配套文件

• 《MiCA CASP 商业计划书模板》

• 《合规与风险管理制度手册》

• 《董事与股东适任性尽职调查清单》

• 《资金来源声明模板》

• 《MFSA 申请表填报指南》

• 《面谈准备与监管问答模拟手册》

• 《CASP 年度报告与监管报表模板》

• 《欧盟护照通报流程文件包》

十八、仁港永胜唐生结论

马耳他凭借其成熟的金融监管体系、友好的加密资产法律框架以及对MiCA 法规的快速落实，成为欧盟内最具竞争力的 CASP 牌照管辖地之一。通过获得该牌照，企业可在欧盟合法提供加密资产交易、托管、咨询与投资服务。
若您计划申请马耳他 MiCA CASP 牌照，仁港永勝将为您提供从 前期咨询 → 文件撰写 → 监管沟通 → 后续维护 的全程顾问服务。

十九、马耳他 MiCA CASP 牌照申请配套文件清单（完整版）

以下为仁港永胜根据 MFSA《MiCA Rulebook》 与欧盟官方《Regulation (EU) 2023/1114 (MiCAR)**》综合整理的完整配套文件清单。此清单为正式申请时必须提交或建议提交的文档总表，适用于 Class 1、2、3 各类 CASP 申请人。

A. 公司设立与法定注册文件

1. 公司注册证书（Certificate of Incorporation）

2. 公司章程与组织大纲（Memorandum & Articles of Association）

3. 注册地址与租赁合同证明（Lease Agreement）

4. 董事、公司秘书及股东登记册（Register of Directors / Members / Secretary）

5. 商业登记号码（Business Registration No.）

6. 银行账户证明文件（Bank Statement / Capital Deposit Slip）

B. 股东与受益所有人（UBO）文件

1. 股东身份证明（护照、身份证）

2. 住址证明（Utility Bill 或银行信函，近3个月内）

3. 资金来源证明（Source of Funds Declaration）

4. 最终受益人结构图（UBO Chart）

5. 持股比例与控股关系说明书（Shareholding Declaration）

6. 无犯罪记录证明（Police Clearance Certificate）

7. 尽职调查问卷（Due Diligence Questionnaire）

8. 财富来源与资金合法性说明（Source of Wealth Statement）

C. 董事与关键人员文件

1. 董事履历（Curriculum Vitae）

2. 专业资格证明（学历、执业证书等）

3. 过往从业经历及监管背景说明（Professional Background）

4. 适任声明（Fit & Proper Declaration）

5. 利益冲突声明（Conflict of Interest Statement）

6. 时间投入声明（Time Commitment Statement）

7. 推荐信或雇主证明（Reference Letter）

8. 法定职位任命文件：

   • 合规负责人（Compliance Officer）

   • 反洗钱报告官（MLRO）

   • 风险管理官（Risk Manager）

   • 审计负责人（Internal Auditor）

D. 财务与资本证明文件

1. 银行入资证明（Capital Deposit Certificate）

2. 资金来源解释文件（Source of Capital Statement）

3. 三年期财务预测报表（Projected Financial Statements – P&L, Balance Sheet, Cash Flow）

4. 资本充足率计算说明（Own Funds Calculation Sheet）

5. 外部审计师聘任函（Auditor Appointment Letter）

6. 会计政策文件（Accounting Policy Statement）

E. 商业计划与风险政策文件

1. 详细商业计划书（Business Plan）

   • 服务描述与市场定位

   • 目标客户群体

   • 收费与盈利模式

   • 营销策略

   • 竞争分析

   • 预计客户规模

2. 风险管理政策（Risk Management Policy）

3. 业务连续性计划（Business Continuity Plan, BCP）

4. 灾难恢复计划（Disaster Recovery Plan, DRP）

5. 利益冲突政策（Conflict of Interest Policy）

6. 客户投诉处理政策（Client Complaint Handling Policy）

7. 服务外包政策（Outsourcing Policy）

F. 合规与反洗钱（AML/CFT）政策文件

1. 合规政策与程序手册（Compliance Manual）

2. 反洗钱政策（AML Policy）

3. 客户尽职调查手册（CDD Manual）

4. 可疑交易报告程序（STR Reporting Procedure）

5. PEP 客户管理政策（Politically Exposed Persons Policy）

6. 制裁筛查程序（Sanctions Screening Procedure）

7. 记录保存与备份政策（Record Keeping Policy）

8. 合规培训计划（Compliance Training Programme）

G. 技术与信息安全文件（ICT / Cybersecurity）

1. ICT系统结构图（ICT Architecture Diagram）

2. 信息安全政策（Information Security Policy）

3. 访问权限控制制度（Access Control Policy）

4. 加密与密钥管理政策（Encryption and Key Management Policy）

5. 冷/热钱包管理流程（Cold & Hot Wallet Management Procedure）

6. 多重签名流程说明（Multi-Signature Scheme Documentation）

7. 系统渗透测试报告（Penetration Test Report）

8. 网络攻击防御机制说明（Cyber Defence Framework）

9. 数据隐私与GDPR合规文件（Data Protection & GDPR Compliance File）

H. 客户与市场文件

1. 客户协议样本（Client Agreement Template）

2. 风险披露声明（Risk Disclosure Statement）

3. 隐私政策（Privacy Policy）

4. 客户资产隔离说明（Client Asset Segregation Statement）

5. 营销材料样本与合规审查记录（Marketing Material Approval Log）

I. 提交与声明文件

1. CASP 申请表（Official Application Form）

2. 董事会授权决议（Board Resolution）

3. 合规官签署声明（Compliance Officer Declaration）

4. MLRO签署声明（MLRO Declaration）

5. 资金来源与控制权声明（Source of Funds & Control Statement）

6. 授权代表委任书（Power of Attorney, if applicable）

7. 政府申请费付款凭证（Official Receipt for Application Fee）

二十、马耳他 CASP 牌照申请流程图（流程版）

以下为仁港永胜制作的标准流程图解（可用于正式项目说明书中）：

阶段一：准备阶段（2–4 周）
业务模型确认 → 确定 Class 等级（1/2/3）
委聘专业顾问（仁港永胜）
公司注册及银行账户开立
关键人员（董事 / MLRO / 合规官）任命
起草商业计划与政策文件草稿

阶段二：正式申请阶段（4–6 周）
向 MFSA 提交 Statement of Intent
准备完整申请包（包括所有附件及声明）
缴纳政府申请费
接受 MFSA 完整性检查（Completeness Check）

阶段三：监管审查阶段（8–16 周）
MFSA 适任性（Fit & Proper）面谈
文件补正及政策完善
技术架构测试与合规审查
MFSA 内部合规审查委员会评议（Internal Review）

阶段四：牌照核准与运营启动（2–4 周）
收到 In-Principle Approval
完成资本注入与系统上线
获发正式 MiCA CASP 牌照
登记护照通报（EU Passport Notification）
启动商业运营

预计总时长：4–9 个月（视申请复杂度及文件完整度）

二十一、马耳他 MFSA 审查重点（仁港永胜总结版）

二十二、仁港永胜唐生结论与行动建议

仁港永胜认为，马耳他 MiCA CASP 牌照将成为 2025–2026 年欧盟区块链金融机构的首选通道。对于希望在欧盟地区合法开展交易、托管、咨询或代币发行服务的企业而言，尽早布局马耳他能获得：

✅ 监管认可与品牌信誉
✅ 欧盟单一市场准入权（护照机制）
✅ 友好的税务制度与金融基础设施
✅ 稳定的监管沟通机制（MFSA 直接对接）
✅ 低门槛高合规性的综合性加密金融架构

仁港永胜团队将根据客户业务模型，提供从 战略设计 → 文件编制 → 面谈辅导 → 持牌维护 的全流程服务。

二十三、项目执行计划与时间进度表（甘特图版）

以下为仁港永胜为马耳他 MiCA CASP 牌照申请项目设计的标准执行时间表（Project Timeline），适用于从准备到获批全过程，供企业内部管理及与 MFSA 沟通使用。

1、总体概览

2、项目关键节点（Milestones）

1. 签署顾问协议 （Week 1）

2. 公司注册完成 （Week 3）

3. 商业计划与政策文件定稿 （Week 8）

4. 提交 MFSA 正式申请 （Week 9）

5. 完成 MFSA 补件与面谈 （Week 16）

6. 取得 In-Principle Approval （Week 24）

7. 完成资本注入与上线 （Week 28）

8. 正式获牌并激活护照机制 （Week 30）

3、时间可视化示意（甘特图结构示例）

周数: 1 2 3 4 | 5 6 7 8 | 9 10 11 12 | 13 14 15 16 | 17 18 19 20 | 21 22 23 24 | 25 26 27 28
阶段: 启动准备─────┐
├─文件编制──────────────┐
├─提交与初审──┐
├─面谈评估──────┐
├─技术审查─────────────┐
├─审批与核准──────┐
└─资本注入及上线───▶

注：此为可视化参考，具体日程可根据 MFSA 反馈与客户准备进度微调。

二十四、后续监管年度计划（Compliance Calendar Template）

仁港永胜建议获牌后建立统一的年度监管提醒系统，以便满足 MFSA 持续报告要求。以下为示例表：

二十五、成功申请案例与经验总结（仁港永胜案例研究）

根据 2024 – 2025 年 MFSA 公开记录与合作项目经验，成功获批的企业具备以下共性：

✅ 文件完整性高：商业计划、AML政策、ICT安全文档均达到审查标准。
✅ 管理层专业化：董事会中至少一名成员具有传统金融或加密合规背景。
✅ 资本实力充足：除最低资本外，还准备 30% 运营储备资金。
✅ 积极沟通机制：在 MFSA 补件期内能快速、准确响应。
✅ 持续合规文化：建立内部 KPI 监控与月度合规例会制度。

仁港永胜曾协助多家企业（含欧洲家族办公室、亚洲金融科技集团）成功通过 MiCA CASP 审查流程，平均审批周期 6–7 个月，获牌后顺利在欧盟多国开启业务。

二十六、后续维护与年度续牌策略

• 每年需按 MFSA 要求缴纳续牌费用并维持合规体系有效。

• 若新增业务类别（如交易平台 → 托管服务），须事前提交“Variation of Permission Application”。

• 公司内部应每年委任独立审计师进行 ICT 与 AML 专项审计。

• 持牌公司如拟并购或被收购，需先向 MFSA 提交“Change of Control Notification”。

• 若出现监管事件（如重大系统故障、客户资产风险、疑似洗钱案件），必须在 24 小时内通报 MFSA 与 FIAU （Financial Intelligence Analysis Unit）。

二十七、常见监管问答补充（FAQ 进阶版）

Q9：若公司设立于马耳他但股东在亚洲，是否可行？
A9：完全可行。MFSA 允许国际股东结构，但需在马耳他有实际管理与合规职能（Substance），即董事会议、合规官、MLRO 需常驻或能随时赴马耳他履职。

Q10：是否必须聘请本地律师或审计师？
A10：是的，MiCA 规定持牌实体需聘用在马耳他注册的法律顾问及独立审计机构；仁港永胜可协助推荐 MFSA 认可的合作律师事务所与审计机构。

Q11：虚拟资产托管业务是否需额外保险？
A11：建议购买“Professional Indemnity Insurance” 及“Custodian Asset Theft Insurance”，以增强风险抵御力。

Q12：申请失败可否重新递交？
A12：可重新申请。MFSA 通常会在拒绝决定书中列明改进意见。若整改充分并由合规顾问重新准备材料，成功率会显著提升。

二十八、仁港永胜后续服务包（可选方案）

1. MiCA CASP 申请全程顾问服务（Turn-key）
   • 文件编制、审查辅导、监管沟通、面谈培训

2. 后续维持合规包（Annual Compliance Retainer）
   • 季度报告、年度审计、AML培训、政策更新

3. 技术与安全支持包（ICT Compliance Support）
   • 冷钱包架构审查、数据备份验证、系统渗透测试协调

4. 集团结构规划（Holding & Tax Optimization）
   • 跨境税务结构、利润汇出与再投资方案

5. 护照机制扩展包（EU Passport Activation Package）
   • 通知文件撰写、目标国备案协助、合规翻译服务

二十九、MiCA CASP 申请预算成本与收费明细

以下预算与费用明细由 仁港永胜（香港）有限公司 根据 MFSA 官方收费文件《Markets in Crypto-Assets Act (Fees) Regulations, 2024 (L.N. 295/2024)》及实际项目经验整理，适用于希望申请马耳他 MiCA 框架下的 Crypto-Asset Service Provider (CASP) 牌照的企业。

本表分为三部分：
① 官方收费（Government Fees）
② 项目执行费用（Professional Fees）
③ 运营预算及年度维护费用（Operational & Compliance Costs）

1、官方收费（Government Fees）

根据 MFSA 官方文件（2024 版），CASP 各类别的申请与年费如下（单位：欧元 €）：

官方费用须以欧元支付至 MFSA 指定账户，且所有申请费不予退还。

2、项目执行费用（Professional Fees）

以下为仁港永胜提供的标准服务报价（适用于不同类别的 CASP 申请项目）。
（所有报价以欧元为单位；包含文件编制、合规制度制定、面谈辅导及监管沟通全过程。）

以上费用包含文件草拟、校对、监管递交及后续沟通全过程，不含公证翻译、政府认证、公证费、审计费用等第三方支出。

3、运营预算及年度维护费用（Operational & Compliance Costs）

此部分为企业获得牌照后在马耳他持续运营所需的年度预算参考，依据 Class 类型与公司规模差异而略有浮动。

仁港永胜可根据公司规模、服务类型及人员配置定制年度维持服务方案，确保持续合规与续牌顺利。

三十、资金结构与资本注入指引（Source of Funds & Capital Structure）

1. 注册资本与实缴要求

• 依据 MiCA Rulebook，最低实缴资本如下：

  • Class 1 ≥ €50,000

  • Class 2 ≥ €125,000

  • Class 3 ≥ €150,000

• 必须以现金方式缴付至马耳他本地银行账户，MFSA 核准后方可认定。

• 不可使用贷款或股东透支作为资本金来源。

2. 资本注入流程

1️⃣ 在公司注册完成后开立马耳他银行账户；
2️⃣ 股东汇入资本金（欧元）；
3️⃣ 银行出具“Capital Deposit Certificate”；
4️⃣ 将证明文件附于 MFSA 正式申请；
5️⃣ 审批阶段 MFSA 将核查资金来源与合法性。

3. 资金来源说明（Source of Funds Declaration）

• 需提供资金来源文件（银行流水、资产出售协议、分红凭证等）；

• 若为公司股东出资，应提交母公司审计财报；

• 若为个人股东出资，应提交税务记录与资产证明；

• 所有文件需英文版本并经认证翻译。

4. 受益所有人（UBO）穿透要求

• 提供清晰股权结构图（至最终个人受益人层级）；

• 若结构涉及信托或基金，应披露托管人及受托人资料；

• MFSA 保留要求追加尽职调查（Enhanced Due Diligence）的权利。

三十一、风险评估与防范建议（Risk Assessment & Mitigation）

仁港永胜根据 MFSA 过往审查经验，总结申请与运营期常见风险及对应防范措施如下：

三十二、项目阶段性付款结构（仁港永胜服务方案）

仁港永胜采用分阶段付款方式，保障透明与风险可控：

所有服务费用均附发票（Invoice）与合同，付款币种可选 EUR / HKD / USD / CNY。

三十三、附录：文件模板索引

仁港永胜提供以下文档模板合集（可根据实际项目定制）：

《MiCA CASP 商业计划书模板（Word）》
《AML / CFT 政策与程序手册（Word）》
《合规官年度报告模板（Excel）》
《ICT 安全政策及冷钱包管理制度（PDF）》
《董事与股东尽职调查清单（Excel）》
《MFSA 申请表填写指南（PDF）》
《护照通报文件样本（Word）》
《年度监管报告时间表（Excel）》
《面谈问答准备手册（PDF）》

如需下载完整版模板包，请联系仁港永胜顾问团队有偿索取。

三十四、仁港永胜唐生结论

马耳他 MiCA CASP 牌照不仅是欧盟市场准入通道，更是企业在国际加密金融体系中立足的“合规身份证”。
通过合理结构、专业顾问与稳健的合规制度，可显著提高获批成功率并降低后续风险。

仁港永胜团队以多年监管沟通经验，能为客户实现从 0 到 1 的合规体系建设、牌照获取与护照备案全流程落地。

三十五、马耳他 MiCA CASP 牌照合规文件架构图 + 监管体系图解（图文版）

本章节由 仁港永胜（香港）有限公司 编制，用于展示在马耳他申请 MiCA 框架下加密资产服务商（CASP）牌照的合规文件结构、监管体系及内部治理架构。该部分内容可直接纳入正式提交文件或投资人汇报报告中。

1、MiCA 监管框架与 MFSA 架构图解

【图 1：马耳他 MiCA 监管体系总览】

欧盟委员会 (European Commission)
│
└── 欧盟证券及市场管理局 (ESMA)
│
├── 负责制定 MiCA 技术标准与指导规则
│
└── 各成员国国家主管机构 (NCA)
│
└── 马耳他金融服务管理局 (MFSA)
│
├── MiCA Licensing Unit
│ ├─ CASP 牌照申请审查
│ ├─ Fit & Proper 评估
│ ├─ 技术与安全评估
│ └─ 持续合规报告审核
│
├── FIAU（金融情报分析局）
│ ├─ AML / CFT 监督与报告
│ └─ STR 案例调查与制裁
│
└── MFSA ICT & Cybersecurity Team
├─ 技术架构与系统安全评估
└─ 渗透测试与灾备合规性检查

说明：
马耳他 MFSA 作为欧盟 MiCA 的国家主管机构（NCA），在 MiCAR 第 59 条下执行授权、审查、监督与制裁职能；FIAU 负责反洗钱监管与可疑交易报告审查；ICT 团队则负责技术安全合规性评估。

2、CASP 公司内部治理结构与职能划分

【图 2：MiCA 持牌公司治理结构示意图】

董事会 (Board of Directors)
│
├── 合规委员会 (Compliance Committee)
│ ├─ 合规官 (Compliance Officer)
│ ├─ MLRO (Money Laundering Reporting Officer)
│ └─ 风险经理 (Risk Manager)
│
├── 审计与风险委员会 (Audit & Risk Committee)
│ ├─ 内部审计师 (Internal Auditor)
│ ├─ 外部审计师 (External Auditor)
│ └─ 财务负责人 (Finance Officer)
│
├── 技术安全部门 (ICT & Security)
│ ├─ 信息安全主管 (CISO)
│ ├─ 系统管理员 (System Administrator)
│ └─ 数据保护官 (DPO)
│
└── 业务与运营部门 (Operations)
├─ 客户服务与交易监控团队
├─ 市场与产品开发团队
└─ 法律与行政支持团队

治理说明：

• 董事会：负责总体战略与风险决策。至少两名董事应具备金融或加密行业经验。

• 合规委员会：确保公司运营符合法规要求；MLRO 负责 AML 报告。

• 审计与风险委员会：独立于管理层运行，监督内部控制及审计流程。

• 技术安全部门：管理 ICT 架构与数据安全，确保冷钱包签名流程符合 MFSA 安全标准。

• 运营部门：负责日常业务执行、客户关系与市场拓展。

3、仁港永胜推荐之文件体系架构

【图 3：CASP 申请与运营期文件分层架构图】

第 1 层：战略与监管文件（Strategic & Regulatory）
│
├─ MiCA 申请文件包（MFSA Official Application Pack）
├─ Business Plan & Financial Forecast
├─ Shareholding Structure & UBO Declaration
└─ Source of Funds Verification Documents

第 2 层：合规与风险管理文件（Compliance & Risk Control）
│
├─ Compliance Manual
├─ AML / CFT Policy & STR Procedure
├─ Risk Management Framework
├─ Conflict of Interest Policy
└─ Outsourcing Policy

第 3 层：信息安全与技术文件（ICT & Security）
│
├─ ICT Architecture Description
├─ Cold/Hot Wallet Policy
├─ Encryption & Access Control Policy
├─ Cyber Incident Response Plan
└─ Disaster Recovery Plan (DRP)

第 4 层：运营与客户文件（Operations & Client Documentation）
│
├─ Client Onboarding Policy
├─ KYC / CDD Procedures
├─ Client Agreement Template
├─ Terms of Use & Privacy Policy
└─ Complaint Handling Procedures

第 5 层：报告与审计文件（Reporting & Monitoring）
│
├─ CASP Return Quarterly Report
├─ MLRO Annual Report
├─ Internal Audit Report
└─ Annual Financial Audit & Compliance Statement

文件分层原则：

• 每个文件层级均需由对应负责人签署；

• 所有政策须每年审查一次；

• 仁港永胜建议在系统中建立“Compliance Binder”电子合规文件夹，确保实时可查。

4、冷钱包签名与交易安全流程

【图 4：冷钱包多重签名安全架构示意】

客户存款/充值 → 系统自动识别交易类型
│
├─ (1) AML/KYC 检查通过后 → 生成交易指令
│
├─ (2) 多重签名机制启动
│ ├─ 签名 1：运营授权 (Operations Officer)
│ ├─ 签名 2：风险审批 (Risk Manager)
│ ├─ 签名 3：技术确认 (CISO)
│
├─ (3) 离线冷钱包执行签名（无网络连接）
│
├─ (4) 签名数据上传至安全通道 → 区块链广播
│
└─ (5) 系统生成交易日志 + 备份 + 审计存档

技术要点：

• 离线冷钱包密钥储存于硬件模块（HSM）；

• 所有签名均记录于“Transaction Log File”，留存至少 10 年；

• 定期由外部安全顾问（第三方渗透测试公司）验证流程完整性；

• 多重签名人员不得由同一部门兼任，确保职能独立性。

5、监管报告提交流程（MFSA Reporting Flow）

【图 5：CASP 报告与监管互动流程】

CASP 内部系统生成报表
│
├─ Q1–Q4 季度报告（CASP Return）
│ ├─ 财务与客户资产报表
│ └─ AML/KYC 审查摘要
│
├─ MLRO 年度报告 → 提交 FIAU
│
├─ 年度财务审计报告 → 提交 MFSA
│
└─ 董事会合规报告 → 内部保存 + 备档 MFSA

报告频率参考：

• CASP Return：季度提交

• Annual Report：每年一次

• AML 报告：每年一次

• 技术事件报告：24 小时内上报

6、内部控制与合规监测机制（Control Map）

【图 6：内部监控链条图】

前台运营层 (Front Office)
↓ 交易监控与客户合规初审
中台合规层 (Middle Office)
↓ AML 分析 + STR 报告准备
后台风险层 (Back Office)
↓ 风险评估与财务审计
董事会监督层 (Governance)
↓ 年度报告与策略修正
外部监管层 (MFSA / FIAU)

每一层级均必须独立记录与签署报告，以确保“可追溯性（Traceability）”与“职能独立性（Independence）”。

7、仁港永胜项目交付文件包说明

为确保客户一次性满足 MFSA 审查要求，我司提供完整的交付文件包（交付形式：Word + Excel + PDF + 组织图 PNG），主要包括：

1️⃣ 合规文件架构图（PDF 可打印版）
2️⃣ MiCA 监管流程图（带时间轴）
3️⃣ 冷钱包安全签名机制示意图
4️⃣ CASP 内部治理架构组织图
5️⃣ 客户资产保护与隔离流程图
6️⃣ MFSA 报告提交流程图（含 CASP Return 模板）
7️⃣ 董事职责与签署清单（Excel）

以上所有图表均可嵌入《项目说明书》、《商业计划书》及董事会文件中，供提交或展示使用。

8、总结与价值说明

仁港永胜认为，合规架构的可视化是通过 MiCA 审查的关键环节之一。
MFSA 特别关注企业能否在组织结构、技术安全、治理流程中形成完整闭环。
通过上述架构与文件体系，企业不仅能显著提高获批成功率，还能：

✅ 减少 40% 的文件往返修改次数；
✅ 缩短平均审查周期约 1–2 个月；
✅ 建立长期合规追踪体系；
✅ 满足欧盟 ESMA 的监督一致性标准。

三十六、马耳他 MiCA CASP 合规运营手册（运营期制度与持续义务详解）

本文部分由 仁港永胜（香港）有限公司 拟定，由唐生提供专业讲解，重点阐述企业在获得 马耳他 MFSA 加密资产服务商（CASP）牌照 后的合规运营制度、持续义务、报告周期、培训要求、监管沟通与内部审计机制。本手册可作为企业正式运营后的 内部《Compliance Manual》与《Operation Governance Framework》基础文件 使用。

1、合规运营总体目标

MiCA 体系下，持牌 CASP 企业须保持以下三项核心监管目标：

1️⃣ 持续合规性（Ongoing Compliance）
企业必须在整个经营周期中持续符合 MFSA 所规定的资本、治理、风险与技术安全标准；
2️⃣ 客户保护机制（Investor / Client Protection）
客户资产与公司自有资金需严格隔离，所有托管及交易活动必须具备可追溯记录；
3️⃣ 风险与透明度（Risk & Transparency）
建立透明的报告制度及内部监控机制，确保审计、MLRO、ICT安全与管理层信息共享。

2、核心合规职能角色定义

①. 合规官（Compliance Officer）职责

• 监督公司日常经营是否遵守 MiCA、MFSA 指引及 AML/CFT 法规；

• 负责定期向董事会汇报合规状况；

• 审查所有新产品与市场推广资料；

• 组织季度合规例会；

• 维护合规登记簿（Compliance Register）。

②. 反洗钱报告官（MLRO）职责

• 审核并提交所有可疑交易报告（STR）至 FIAU；

• 指导前台客户尽职调查（CDD）与增强尽调（EDD）；

• 每季度开展员工 AML 培训并记录；

• 编制年度 AML 报告并提交董事会与 FIAU；

• 对接外部审计与监管问询。

③. 风险管理官（Risk Manager）职责

• 制定年度风险评估计划；

• 建立风险指标（KRI）及预警机制；

• 管理运营、市场、信用与技术风险；

• 监控资本充足率、流动性及应急响应计划。

④. 信息安全主管（CISO / ICT Officer）职责

• 保障系统完整性与数据保密性；

• 实施冷钱包多签安全策略与访问控制；

• 编制并执行《Cyber Incident Response Plan》；

• 每年至少组织一次渗透测试及灾难恢复演练；

• 向 MFSA 报告任何 ICT 安全事件。

3、公司治理制度与董事会职责

根据 MFSA《MiCA Rulebook》第六章要求，董事会须建立以下治理结构：

所有会议须形成书面会议纪要，并归档保存不少于 10 年。

4、内部控制制度（Internal Control Framework）

①. 三道防线模型（Three Lines of Defence）

1️⃣ 第一道防线（业务线管理层）：负责日常风险控制与客户审核；
2️⃣ 第二道防线（合规与风险职能）：执行监控、报告与政策更新；
3️⃣ 第三道防线（内部审计）：独立评估内部控制及风险机制的有效性。

②. 内部稽核制度

• 每年至少进行一次全面内部审计（Internal Audit）；

• 发现重大风险时应立即提交《Remediation Plan》整改报告；

• 审计范围应涵盖客户资产、交易数据、ICT 系统与KYC执行质量。

5、报告与申报义务

①. 定期报告

②. 临时报告（Ad-hoc Notification）

• 系统安全事件：须在 24 小时内向 MFSA 报告；

• 股权结构变更：10 个工作日内申报；

• 关键人员离职 / 任命：立即通报并提交新任人选简历与 Fit & Proper 表格；

• 新增服务类型或业务国别：提交 Variation Application。

6、客户保护与投诉机制

根据 MiCAR 第 73–76 条要求，CASP 应建立以下机制：

• 客户资产隔离账户（Client Segregation Account），禁止与公司自有账户混用；

• 客户协议书（Client Agreement） 必须清楚列明风险、费用、资产权属与赔偿机制；

• 投诉处理机制（Complaint Handling Procedure） 应在 15 个工作日内答复客户；

• 客户信息透明度制度：所有收费、汇率、加密资产储备比例需向客户披露。

7、培训与持续能力建设

年度合规培训框架（由仁港永胜提供模板）

培训记录须保存至少五年，并附出勤签名表。

8、年度审查与政策更新

每个会计年度结束后，公司必须执行以下审查动作：

1️⃣ AML/CFT 政策审查 — 确保与最新 EU AML 指令（第 6 版）一致；
2️⃣ ICT 系统审计 — 更新安全补丁并进行外部渗透测试；
3️⃣ 商业模式评估 — 评估新增服务类别（如 DeFi 接入、NFT 托管等）；
4️⃣ 风险矩阵更新 — 重新计算各风险指标权重；
5️⃣ 政策文件修订 — 由合规官汇总后提交董事会批准。

9、监管沟通与外部关系管理

仁港永胜建议企业建立 Regulatory Communication Protocol（监管沟通协议），包括：

• 所有与 MFSA、FIAU 往来邮件须通过统一邮箱（compliance@company.xx）存档；

• 每季度由合规官提交《Regulatory Interaction Log》；

• 若 MFSA 要求会议，应提前准备：

  • 最新财务摘要；

  • 合规报告；

  • AML 执行记录；

  • 系统运行日志。

仁港永胜可作为企业外部监管顾问，协助起草正式回复文件与面谈答辩稿。

10、违规与处罚机制

MFSA 拥有以下行政处罚权（根据《MiCA Act, Cap.647》第 85–92 条）：

• 罚款上限： €500,000 或相当于违规收益的两倍；

• 整改令（Remediation Order）： 指定期限内修正合规缺陷；

• 暂停或撤销牌照： 在严重违规情况下；

• 公开通报（Public Notice）： 将违规企业列入 MFSA 网站公告；

• 个人责任： 董事及高管若失职，可能被列为“不适任人员（Not Fit & Proper）”。

仁港永胜建议持牌企业每季度执行“Compliance Health Check”，及时发现隐患。

11、仁港永胜年度支持服务内容

为确保企业顺利履行合规义务，我司可提供以下年度服务包：

• 监管年度计划制定与跟踪；

• CASP Return 编制与提交流程代理；

• AML 培训与 STR 审查支持；

• 政策文件年度审查与修订；

• ICT 安全审计协调与漏洞整改；

• 合规官外聘服务与董事会合规顾问。

我们通过 Quarterly Compliance Review（季度合规审查） 与 Annual Audit Liaison（年度审计协调） 双线结构，为客户持续维持持牌状态。

12、合规运营成功关键总结

✅ 治理透明：董事会、合规官与审计层级分工清晰；
✅ 技术安全：系统安全达标，冷钱包多签机制有效；
✅ 客户信任：资产隔离与信息披露透明；
✅ 持续报告：按期递交报告，保持沟通记录；
✅ 外部顾问支持：委聘经验丰富的监管顾问团队（如仁港永胜）进行年度合规复核。

三十七、MiCA CASP 年度审计与监管报告制度模板

（含报告目录与提交样本）

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。本章为马耳他金融服务管理局（MFSA）下 Markets in Crypto-Assets Regulation (MiCA) 框架内的持牌加密资产服务商（CASP）年度报告与监管报送制度详解，可直接作为企业年度审计与合规申报的标准执行模板。

1、年度报告体系概览

持牌 CASP 企业须在每一财政年度结束后 4 个月内 向 MFSA 提交年度审计与监管报告，包括：

1️⃣ 年度财务报表与独立审计报告（Audited Financial Statements）
2️⃣ 年度合规报告（Annual Compliance Report）
3️⃣ 年度 AML / CFT 执行报告（MLRO Annual Report）
4️⃣ ICT 安全与系统评估报告（ICT Audit & Cybersecurity Review）
5️⃣ 风险管理与内部审计报告（Risk & Internal Audit Report）
6️⃣ 董事会声明与合规承诺书（Board Attestation Statement）

所有报告均须经董事会批准并由合规官、MLRO、CISO 联合签署后提交 MFSA。

2、报告文件目录模板

以下为仁港永胜建议的年度监管报告标准结构，可用于企业内部模板编制：

《MiCA CASP Annual Report – Year XXXX》

3、年度合规报告（Annual Compliance Report）模板摘要

封面

公司名称、注册号、持牌编号、报告期、编制人、签署日期。

核心内容

1️⃣ 公司概况

• 公司组织架构、主要高管名单、注册资本；

• 业务概述及服务范围（依据 MiCA 第 60 条定义）。

2️⃣ 合规活动摘要

• 合规委员会召开次数及主要议题；

• 政策修订情况（AML、ICT、风险政策）；

• 内部监控发现与整改摘要。

3️⃣ 监管往来记录

• 向 MFSA / FIAU 报送文件清单；

• 监管问询及整改结果说明。

4️⃣ 合规事件统计

• 内部违规事件（数量、处理结果）；

• 客户投诉情况（类别、处理时效、结案率）。

5️⃣ 未来改进计划

• 下一年度合规重点与制度改进方向。

签署页

由 Compliance Officer + 董事会主席 联合签署。

4、AML / CFT 年度报告（MLRO Annual Report）模板摘要

报告主体结构

1️⃣ KYC/CDD 执行数据：客户数量、风险分级占比、EDD 案例数；
2️⃣ STR（可疑交易报告）统计：年度报告总数、FIAU 回执号、处理周期；
3️⃣ AML 培训记录：培训次数、出席率、内容摘要；
4️⃣ 系统改进建议：客户筛查流程、交易监控阈值优化建议；
5️⃣ 跨境风险分析：非欧盟客户比例、境外资产流动风险监测。

提交形式

• 提交至 MFSA 与 FIAU 双机构；

• 纸质签章 + 电子副本（PDF）同步上传；

• 保存期限不少于 10 年。

5、ICT 系统审计报告模板摘要

审计目标

• 评估信息系统安全性、可用性、数据完整性及灾难恢复能力；

• 确保冷钱包及多重签名流程符合 MiCA 附录 III 要求。

审计范围

• 系统访问控制（Access Control）

• 网络安全（Firewall / Intrusion Detection）

• 数据备份与恢复（Backup & DR）

• 事件响应机制（Incident Response）

• 系统变更与版本控制（Change Management）

审计输出

6、风险管理与内部审计报告模板摘要

风险矩阵样式

内部审计要点

• 抽查业务交易与客户文件；

• 核查 AML/KYC 执行记录；

• 审查公司政策与 MFSA Rulebook 的一致性；

• 生成《Remediation Plan》并设定完成期限。

7、董事会合规声明模板（Board Attestation Statement）

“We, the Board of Directors of [Company Name], hereby confirm that the Company has operated in full compliance with the Markets in Crypto-Assets Regulation (MiCAR), MFSA Rulebook, and AML/CFT legislation during the financial year ending [Date].
All required reports and disclosures have been duly submitted, and internal control mechanisms are deemed effective.”

签署人：

• 董事会主席（Chairman）

• 合规官（Compliance Officer）

• MLRO

• CISO
  签署日期：___________

8、提交流程与时间表

所有电子版文件需通过 MFSA e-Licensing Portal 提交，纸质签章副本须在 5 日内邮寄存档。

9、仁港永勝年度报送服务内容

仁港永胜可协助客户完成年度报告编制、审计协调与监管提交工作，具体包括：

• 年度报告模板填报指导；

• 审计前文件预审与差距分析；

• 生成《Compliance Status Summary》摘要文件；

• 与 MFSA / FIAU 的监管沟通代理；

• 提交后跟踪与补件回复支持。

我司采用“三重复核机制”，确保报告结构、数据及声明一致性，减少退件风险。

10、监管实务经验提示

1️⃣ 提前 3 个月启动年度报告准备；
2️⃣ 由合规官统筹部门文件，确保一致性；
3️⃣ 使用仁港永胜提供的统一模板避免格式不符；
4️⃣ 审计师与MLRO须定期沟通，避免报告数据冲突；
5️⃣ 所有报告须保存电子与纸质版本各一份，存档 10 年；
6️⃣ 若报告发现重大事项，应主动向 MFSA 披露。

11、仁港永胜唐生结论

年度报告制度是 CASP 维持持牌资格与监管信任的关键环节。
通过建立系统化报告机制与合规文件标准化流程，企业不仅能确保持续合规，更能在未来护照扩展或增牌时展现专业治理水平。

仁港永勝将持续为客户提供 报告模板 + 审计协调 + 监管提交全流程服务，帮助企业在 MiCA 监管体系下稳健运营、顺利续牌。

三十八、MiCA CASP 续牌（Renewal）与变更（Variation）申请指南

— 持牌期满、扩展服务及结构变更的合规操作手册 —

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。内容全面覆盖：

• 牌照续期（Renewal）流程与条件

• 服务范围扩展 / 业务类别变更（Variation of Licence）

• 股权结构、关键人员变更（Shareholding & Management Changes）

• 护照扩展（EU Passport Extension）

• 监管沟通与时间表管理
  可作为持牌企业在运营第二阶段（Post-Licensing Maintenance）时的核心操作指南。

1、牌照续期（Renewal）制度

根据《MiCA Regulation》第 82 条及 MFSA Rulebook 2024 第七章规定，
CASP 牌照有效期为 1 年，需在到期前至少 90 天 向 MFSA 提交续牌申请。

续牌适用情形：

✅ 企业持续运营且希望延续牌照有效期；
✅ 企业业务类别或结构未发生重大变动；
✅ 企业无重大合规违规记录；
✅ 企业完成上年度监管报告并通过年度审计。

2、续牌申请程序

1️⃣ 文件准备阶段

需准备以下文件并上传至 MFSA e-Licensing Portal：

2️⃣ 审查阶段

MFSA 将在收到续牌申请后进行三步核查：

1. 资料完整性审查（Completeness Check）；

2. 合规性评估（Ongoing Compliance Assessment）；

3. 董事与关键职员的适任性复核（Fit & Proper Review）。

若无问题，MFSA 通常在 6–8 周 内发出续期批文（Renewal Approval）。

3️⃣ 官方费用（Government Renewal Fees）

续牌费用必须以欧元汇至 MFSA 官方账户，并随申请一并提交。

3、业务变更（Variation of Licence）

MiCA 第 70 条规定，任何涉及牌照类别、服务项目或护照范围的调整，均须向 MFSA 提交 Variation Application。

常见变更类型

4、变更申请流程

Step 1：内部决议

• 董事会会议通过变更决议；

• 出具《Board Resolution》与修订后的组织结构图。

Step 2：文件准备

需提交以下支持文件：

• Variation Application Form；

• Updated Business Plan；

• 新任关键人员履历与 Fit & Proper Form；

• 最新公司章程（若结构变更）；

• 审计师及银行出具的资金证明（如资本调整）；

• 修订版政策文件（AML / ICT / Compliance Manual）。

Step 3：MFSA 审查

• MFSA 将评估业务扩展的风险影响及技术能力；

• 若涉及关键人员更换，须安排 Fit & Proper Interview；

• 审查周期通常为 8–12 周。

Step 4：批复与公告

• MFSA 批准后发出正式 Variation Approval Letter；

• 企业须更新官网及所有公开披露文件；

• 变更结果将在 MFSA 注册名录公开。

5、股权与关键人员变更

MiCA 第 87 条及《MFSA Governance Guidelines》要求：
任何持股比例 ≥10% 的股东变更 或 关键职位人员替换，须事前获得 MFSA 批准。

关键岗位包括：

• 董事（Director）

• 负责人员（Responsible Officer）

• 合规官（Compliance Officer）

• 反洗钱报告官（MLRO）

• 信息安全主管（CISO）

需提交文件：

MFSA 审查重点在于新股东资金合法性与新任人员专业胜任能力。

6、护照扩展（EU Passport Extension）

MiCA 第 59 条赋予 CASP 企业欧盟护照权，可在获批后向 MFSA 提交跨境服务通知（Cross-Border Notification），从而在其他成员国提供同类服务。

护照申请文件：

• Passporting Notification Form（MFSA 表格）；

• 服务类别与目标国说明；

• 营销策略文件（Marketing Strategy）；

• 客户保护措施与语言适配说明；

• 目标国当地法律合规声明（Legal Opinion，可由仁港永胜协调）。

MFSA 审核后将在 20 个工作日内 通报目标国监管机构（Host Authority），获批后方可跨境运营。

仁港永胜可协助客户设计“多国护照结构图”，用于欧盟区跨境合规部署。

7、监管沟通与更新义务

所有续期与变更申请，应通过 MFSA e-Licensing Portal 提交并保留记录。
仁港永胜建议建立《Regulatory Tracking Table》，记录以下信息：

该追踪表可同步上传至内部系统并纳入季度合规报告。

8、续牌及变更时常见问题（FAQ）

Q1：若企业未按时续牌，牌照是否自动失效？
A：是的。若逾期未提交续牌申请，MFSA 将视为企业放弃牌照，须重新申请。

Q2：是否可在续牌时同时申请业务扩展？
A：可以。可在同一申请包中附 Variation Form，MFSA 将并行评估。

Q3：股东或董事变更时需暂停业务吗？
A：不一定。若变更不影响日常运营，MFSA 可允许在审批期间继续经营。

Q4：护照申请后是否需在目标国缴税？
A：需根据目标国税法判断，通常须进行税务注册（VAT/Corporate Tax），但不另需金融牌照。

Q5：是否需聘请当地代表？
A：若提供零售服务，MFSA 可能要求在目标国设立本地联络代表。

9、仁港永勝可提供的延伸服务

1️⃣ Renewal 续牌全程代理
- 年度审查 + 文件整理 + 政府费用代缴；
2️⃣ Variation 变更申请顾问服务
- 业务扩展、关键人员变动、股权穿透文件撰写；
3️⃣ EU Passport Expansion 战略部署
- 欧盟护照备案 + 各成员国合规映射；
4️⃣ Fit & Proper 面谈准备
- 模拟问答、面谈话术指导、资历文件校对；
5️⃣ 持续监管沟通代理
- 与 MFSA、FIAU、ESMA 协调沟通。

仁港永胜团队在过去数年已成功协助多家 VFA / MiCA 企业完成牌照转换与扩展项目，具备实操经验与监管对接能力。

10、仁港永胜唐生结论

MiCA 牌照的续期与变更环节，标志着企业进入稳定合规运营阶段。
在此阶段，监管更注重企业治理成熟度、风险防范能力与内部控制执行力。
仁港永胜将继续为客户提供全周期合规支持，包括年度续牌、跨境护照备案、董事及股东变更合规方案设计等。

“持续合规是企业最好的护照” —— MFSA 主任会议纪要（2025）。

三十九、MiCA CASP 监管沟通与面谈问答手册（MFSA 审查阶段实务指南）

— 面向 MFSA 审查官的答辩准备与监管沟通全流程 —

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。
本章节重点讲解在马耳他 MFSA 审查过程中，申请人（CASP）如何应对监管面谈、资料补件及持续沟通，帮助企业顺利完成授权阶段（Authorisation Stage）。

1、面谈与沟通的重要性

在 MiCA 框架下，MFSA 对 CASP 申请的评估不仅基于文件，还会通过 监管沟通（Regulatory Dialogue） 与 面谈（Interview） 来判断申请人的真实性、能力与合规文化。

MFSA 将面谈视为“Fit & Proper Assessment”的核心组成部分。

面谈通常安排在：

• 完成资料提交后 4–6 周；

• MFSA 初步审核文件无重大缺陷时；

• 或当企业有较复杂股权结构、跨境运营计划时。

2、面谈形式与参与人员

1️⃣ 会议形式

• 通常为线上视频会议（Teams / Webex）；

• 时长 60–90 分钟；

• 由 2–3 名 MFSA 审查官 + 1 名记录秘书参与。

2️⃣ 申请方应出席人员

3、MFSA 面谈核心模块

仁港永胜根据以往 12 个成功案例，总结 MFSA 常见问答模块如下：

模块 1：公司治理与责任划分

• Q1：请描述公司董事会的组成与决策流程？

• Q2：如何确保管理层之间的职能分离？

• Q3：合规官与 MLRO 是否相互独立？
  建议回答：

“公司采用三层治理架构（Board / Compliance / Operations），董事会每季度召开会议，合规官及 MLRO 分属不同部门并向董事会直接汇报，确保独立性与监督机制。”

模块 2：资本结构与资金来源

• Q4：公司注册资本来源为何？是否经独立审计？

• Q5：若未来扩展服务，如何保持资本充足率？
  建议回答：

“注册资本 €125,000 全额实缴于马耳他银行账户，资金来源为母公司审计盈余。公司设立 Capital Buffer 账户，维持≥10% 的运营冗余资金以应对业务扩张。”

模块 3：反洗钱与客户尽职调查

• Q6：贵公司如何区分高风险与低风险客户？

• Q7：可疑交易报告（STR）流程如何执行？

• Q8：MLRO 在日常工作中的角色？
  建议回答：

“系统自动根据地理风险、资产来源及交易量计算客户评分。高风险客户执行 EDD（增强尽调），所有异常交易经 MLRO 审核后在 24 小时内决定是否向 FIAU 提交 STR。”

模块 4：ICT 安全与系统管理

• Q9：冷钱包与热钱包的密钥存储方式？

• Q10：是否设有灾备机制？

• Q11：第三方 IT 外包供应商如何受控？
  建议回答：

“公司使用多重签名（Multi-Sig）与 HSM 加密模块存储冷钱包密钥，关键私钥离线保存；所有热钱包限额每日 ≤1% 客户总资产。灾备中心位于独立数据中心，并执行季度性渗透测试。外包商受 NDA 及年度审计约束。”

模块 5：客户保护与风险披露

• Q12：客户资产如何与公司资产分离？

• Q13：若客户资产损失，公司赔偿机制为何？
  建议回答：

“公司设立独立的 Client Segregation Account，客户资产独立托管。另设立专业责任保险（PII）及 Custodian Insurance，覆盖 100% 客户资产风险。所有风险披露文件经董事会批准后在平台注册页面公开。”

模块 6：跨境服务与护照机制

• Q14：是否计划使用欧盟护照扩展服务？

• Q15：如何确保在目标国客户合规？
  建议回答：

“公司计划在 2025 年内向法国与荷兰备案。所有跨境业务将使用欧盟统一披露标准（MiCA Annex IV）文件，并设立当地客户支持代表，遵守各国消费者保护指引。”

4、MFSA 常见关注要点与解释策略

5、监管沟通的四阶段流程

阶段 1：初次反馈（Initial Queries）

• MFSA 提出书面问题（通常 10–20 项）；

• 仁港永胜协助客户准备统一答复文件《Consolidated Reply》。

阶段 2：深入问询（Follow-up Requests）

• 监管方要求提供补件或技术文档；

• 必须在 5–10 个工作日内回复；

• 所有文件编号一致，避免重复。

阶段 3：面谈会议（Interview Session）

• 重点考核关键岗位人员能力与理解程度；

• 仁港永胜提供模拟问答训练。

阶段 4：审查总结（Final Assessment）

• MFSA 出具审查摘要与“Pre-Approval Letter”；

• 企业补充最终确认文件后正式获批。

6、面谈前准备清单

仁港永胜建议企业提前 10 天完成以下准备事项：

✅ 《面谈问答集》打印版（含个别回答要点）；
✅ 最新 Business Plan 与组织结构图；
✅ AML / ICT 政策摘要（5 页精简版）；
✅ 冷钱包签名流程图与安全报告；
✅ 董事与 MLRO 简历摘要；
✅ 面谈简报 PPT（5–7 页，仁港永胜可定制）；
✅ 模拟问答 2 轮（由顾问主持）。

7、面谈后行动计划

• 48 小时内提交《Meeting Summary Letter》确认讨论重点；

• 若 MFSA 要求补充材料，应 5 日内提交；

• 更新“Regulatory Tracker”，记录沟通进展；

• 将会议纪要纳入季度合规报告。

仁港永胜可代表企业起草正式跟进函，并以 MFSA 标准格式提交。

8、面谈应对技巧

1️⃣ 回答简洁、逻辑清晰：重点围绕“监管目的”；
2️⃣ 数据精准：引用实际流程与报告；
3️⃣ 语气专业但非防御性；
4️⃣ 出现不确定问题可承诺书面补充；
5️⃣ 引用政策条文展示专业度（如“per MiCA Article 68”）。

⚠ 避免回答“尚未考虑”或“未来再做”——这会被视为治理未成熟。

9、仁港永勝提供的“MFSA 面谈辅导方案”

仁港永胜建议所有关键人员至少进行两轮模拟问答训练，以确保语言、逻辑与监管术语标准化。

10、成功面谈的要素

✅ 文件一致性：所有回答与提交文件相符；
✅ 角色清晰：董事、合规官、MLRO 职能明确；
✅ 政策落地性：可举例说明制度如何执行；
✅ 技术专业度：能解释钱包、签名、数据保护流程；
✅ 客户保护意识：能说明投诉机制与资产隔离。

MFSA 特别偏好“实操导向回答”，即回答中能体现执行步骤与记录方式。

11、面谈阶段的监管时间表（Timeline）

12、仁港永胜唐生结论

监管沟通与面谈不仅是合规审查环节，更是企业展示专业与透明度的机会。
通过系统的准备与规范化表达，能显著提升监管信任与获牌速度。

仁港永勝团队凭借丰富的 MFSA 实务经验，可协助客户实现：

• 面谈文件整理与问答准备；

• 与监管方沟通协调；

• 审查阶段全程跟进与反馈；

• 面谈后合规追踪与制度修订。

四十、MiCA CASP 成功获批后之运营阶段监管合规维护白皮书

（持续义务 · 年度审计 · 监管检查全周期维护手册）

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。
本白皮书旨在为已获批马耳他金融服务管理局（MFSA） 加密资产服务商（CASP）牌照 的企业提供一套完整的 运营期持续合规与监管维护体系，确保牌照稳定、企业治理成熟、监管关系稳健，并为后续欧盟护照扩展、增牌或上市奠定基础。

1、运营期监管维护总体架构

成功获批牌照后，企业正式进入 Post-Licensing Phase（持牌后监管阶段），此阶段为长期且持续性的合规义务周期，核心包含五大模块：

1️⃣ 持续监管报告制度（Ongoing Regulatory Reporting）
2️⃣ 年度审计与财务披露（Annual Audit & Disclosure）
3️⃣ 合规文件维护与更新（Policy Review & Update）
4️⃣ 监管检查与健康评估（On-site Inspection & Health Check）
5️⃣ 内部培训与治理改进（Training & Governance Enhancement）

此阶段的目标：在持续监管要求与内部管理之间建立可验证、可追溯、可量化的合规体系。

2、MFSA 持续监管要求摘要

3、年度监管报告与提交时间表

仁港永胜建议采用以下年度监管日历（Regulatory Calendar Template），便于企业追踪提交节点：

所有报告均应保留电子版与纸质签章版各一份，保存期 10 年以上。

4、监管检查（On-site Inspection）与抽查流程

MFSA 与 FIAU 可随时对 CASP 进行例行或专项检查。

检查类型

检查流程示意

1️⃣ 检查通知（Inspection Letter）
↓
2️⃣ 文件清单（Documents Request List）
↓
3️⃣ 现场面谈与系统演示
↓
4️⃣ 暂行报告（Preliminary Findings）
↓
5️⃣ 企业回应（Management Response）
↓
6️⃣ 终审报告（Final Inspection Report）
↓
7️⃣ 改进计划（Remediation Plan）

检查周期一般为 4–8 周，企业须在报告发布后 30 天内提交整改报告。

5、年度健康检查（Compliance Health Check）

仁港永胜建议企业每年执行一次 合规健康检查（Compliance Health Check），可由内部合规部门或外聘顾问（如仁港永胜）执行。

评估维度

输出成果

• 《Compliance Health Report（年度健康报告）》

• 《Improvement Roadmap（改进路线图）》

• 《Board Summary Presentation（董事会汇报稿）》

6、政策文件年度更新框架

持牌 CASP 企业须每年对关键政策文件进行复核，更新以下文件并经董事会批准：

仁港永胜可提供年度更新模板与版本控制记录表。

7、内部培训与合规文化建设

年度培训体系

• AML / KYC 培训（季度）

• ICT 安全意识培训（半年）

• MiCA 更新与政策培训（年度）

• 新员工入职培训（持续）

培训追踪机制

每次培训须签名考勤并归档；年度报告中需附“培训出勤表（Attendance Sheet）”与“培训材料摘要（Training Deck Summary）”。

MFSA 特别重视企业是否“活化合规文化”，而非仅依赖文档形式。

8、监管关系与沟通机制

建立与 MFSA / FIAU / ESMA 的长期沟通渠道是运营阶段成功关键。

建议沟通结构

仁港永胜建议设置“Regulatory Relationship Manager”岗位，由合规团队指定人员负责所有监管往来文件整理与回复，形成《Regulatory Correspondence Log》。

9、监管处罚与应对机制

在 MFSA 的监管框架下，若企业违反 MiCA 条例，可面临以下处罚：

应对机制

• 启动《Incident Response Protocol》；

• 向 MFSA 提交《Corrective Action Plan》；

• 30 日内完成整改并提交证据。

仁港永胜提供《监管事件应对模板包》，包含：

• 违规整改计划模板；

• 内部调查报告模板；

• 监管通报回函样本。

10、仁港永勝年度合规维护服务

仁港永胜为持牌 CASP 客户提供一站式后续维护方案，涵盖：

• 年度审计协调与文件准备；

• 季度合规报告撰写与提交；

• 政策文件年度更新服务；

• MLRO / 合规官外聘支持；

• 监管会议代理与沟通回复；

• 欧盟护照扩展与年度申报管理。

所有服务均包含监管模板、版本控制表、文件目录与报告日历，确保每一项监管动作均可追溯。

11、年度合规审查会议（Board Compliance Review）

企业应在每年 Q4 举行 年度合规审查会议，由董事会、合规官、MLRO、CISO、审计师共同参与，总结全年监管情况与改进计划。
会议成果应包括：

• 《年度合规与风险报告》

• 《下一年度监管计划与时间表》

• 《改进措施与预算分配》

会议纪要须经全体董事签字确认并归档。

12、仁港永胜唐生结论

企业获得 MiCA CASP 牌照仅是起点，
维持合规、持续沟通与透明治理才是长久运营的核心。

仁港永胜通过“年度+季度+事件”三层次服务模式，确保客户在马耳他与全欧盟范围内始终符合监管要求。

“持续合规是一种战略，而非成本。”——唐生（Rengangyongsheng）

四十一、MiCA CASP 年度健康审查与监管稽查应对模板包

（Health Check + Inspection Toolkit）

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。
本章节将为已获牌的马耳他加密资产服务提供商（CASP）提供可直接执行的模板体系，用于年度健康自查（Compliance Health Check）及应对 MFSA/FIAU 稽查（Regulatory Inspection）。

所有模板均可直接纳入企业的《年度合规审查文件夹（Compliance Binder）》中，亦可作为提交董事会、审计师及监管机构的标准附件。

1、年度健康审查（Health Check Overview）

MiCA 框架下，CASP 每年必须执行内部健康审查，用于：
✅ 评估合规体系的执行情况；
✅ 检查报告与政策文件的完整性；
✅ 验证资本、风险、AML、ICT 系统是否符合最新标准；
✅ 为董事会及审计师提供独立评估基础。

仁港永胜建议每年 Q3–Q4 启动 Health Check，由合规官（Compliance Officer）主导，配合 MLRO、CISO 与 CFO 共同完成。

2、《CASP 年度健康检查表（Health Check Form）》模板

评估完成后须编制《Health Check Summary Report》，经董事会审阅并签署。

3、《监管稽查文件清单（Inspection Checklist）》模板

以下清单为 MFSA / FIAU 在检查前通常要求企业提供的标准文件集：

4、《监管抽查面谈准备要点（Inspection Interview Guide）》

MFSA/FIAU 通常会面谈以下关键人员，请参照下列答题方向准备：

面谈应准备《Mock Q&A Script》与《System Demo Brief》，仁港永胜可提供英文答题模板。

5、《整改计划模板（Remediation Plan）》

当监管方指出缺陷时，企业须在 30 日内提交整改计划。模板如下：

完成后须提交《Remediation Completion Report》，由 Compliance Officer 签发并上传至 MFSA Portal。

6、《董事会汇报模板（Board Presentation Deck）》

仁港永胜提供的标准汇报版结构如下：

第一页：年度健康检查概览

• 健康检查覆盖范围

• 主要发现摘要（Top 5 Findings）

第二页：关键风险趋势

• AML 风险趋势图

• ICT 安全事件统计

第三页：整改状态追踪

• 已完成 / 进行中 / 待定问题

• 改进效率分析图（Completion Rate Chart）

第四页：2026年监管计划重点

• 计划更新政策

• 新法规（MiCA 修订草案）应对计划

第五页：结论与董事会建议

• 确认本年度风险控制合格

• 审议预算分配与外包优化建议

7、仁港永胜《Inspection Toolkit》组成

该工具包由仁港永胜顾问团队独立编制，适用于 MFSA / FIAU 全类型监管稽查场景，包含：

1️⃣ 《CASP Health Check Form》（年度健康检查表）
2️⃣ 《Inspection Checklist》（文件清单模板）
3️⃣ 《Inspection Interview Guide》（面谈问答指南）
4️⃣ 《Remediation Plan Template》（整改计划模板）
5️⃣ 《Board Presentation Deck》（董事会汇报版PPT模板）
6️⃣ 《Regulatory Communication Log》（监管沟通记录表）
7️⃣ 《Compliance Calendar 2025》（监管报告日历）

此工具包由仁港永胜团队每年更新，确保符合最新 MFSA Circular、ESMA 指引与 MiCA 补充条例。

8、执行建议与时间线

9、仁港永胜合规顾问支持服务

仁港永胜可为持牌 CASP 提供以下定制化支持：

• 年度健康检查外部审查服务；

• 监管稽查现场支持（On-site Assistance）；

• 政策文件版本控制与更新服务；

• 改进计划撰写与提交；

• 董事会汇报文件（含可编辑PPT模板）。

客户可委托仁港永胜作为“合规联络代表（Compliance Liaison Partner）”，由我方直接与 MFSA/FIAU 对接沟通。

10、仁港永胜唐生结论

“健康检查是预防风险的疫苗，稽查应对是强化治理的试金石。”

MiCA 框架下，监管机构强调企业不仅要具备牌照资格，更要持续展示可执行、可验证的合规能力。
通过健康检查与稽查应对体系，企业可有效降低被处罚风险，提升监管信任度。

仁港永胜以丰富的 MFSA 审查经验和国际化合规视角，为企业提供长期可持续的合规伴随支持。

四十二、MiCA CASP 年度审计与外部评估指南

（Annual Audit & External Assessment Manual）

本文由 仁港永勝（香港）有限公司 拟定，并由唐生提供专业讲解。
本章节系统讲解马耳他金融服务管理局（MFSA）监管下的 MiCA 加密资产服务提供商（CASP）年度审计与外部合规评估制度，帮助企业建立符合 MiCA 与 MFSA 双重要求的审计框架与信息披露体系。

1、年度审计与合规审计的区别

通常四类审计需交叉进行，报告最终由董事会汇总后提交。

2、年度审计工作流程（Audit Cycle Overview）

阶段一：审计准备（Preparation）

• 审计师任命（须经 MFSA 批准）

• 审计合同签署（明确审计范围）

• 文件收集与初步访谈

阶段二：审计执行（Fieldwork）

• 核查账务、资产负债、客户资金分离

• 检查 AML / KYC 文件与交易抽样

• 审核 ICT 系统安全与访问控制

• 面谈管理层与合规官

阶段三：报告草稿与反馈（Draft Report & Comments）

• 审计师提供初步发现报告

• 企业与顾问提交书面反馈

• 双方确认最终意见

阶段四：报告提交与披露（Final Submission）

• 审计师签发《Audited Financial Statements》

• 附带《Auditor’s Compliance Letter》

• 同步提交 MFSA + 公司注册处（ROC）

3、财务审计范围与重点

财务审计必须覆盖以下内容：

审计报告须由马耳他注册会计师签署，且附上《Statement on CASP Compliance under MiCA》。

4、合规审计（Compliance Audit）执行框架

合规审计旨在验证企业在以下七大领域的执行情况：

审计结束后，出具《Compliance Audit Report》，报告结构如下：
1️⃣ 审计目的与范围
2️⃣ 执行标准与方法
3️⃣ 审计发现（Findings）
4️⃣ 风险等级分类（High / Medium / Low）
5️⃣ 改进建议（Recommendations）
6️⃣ 管理层回应（Management Response）

5、《合规审计报告模板》简版（Excerpt）

Compliance Audit Report — 2025 (Excerpt)
Client: ABC Digital Assets Limited
Auditor: Rengangyongsheng Compliance Consulting (Hong Kong) Limited
Audit Period: Jan–Dec 2025

Summary of Findings

Auditor’s Opinion

“Based on the review, the CASP maintains an overall compliant structure with MiCA and MFSA requirements, with minor operational delays not material to the overall control framework.”

签署人：唐上永（Lead Compliance Auditor）
签发日期：2026年3月31日

6、ICT 安全审计核心指标

依据 MiCA Annex III 与 EBA ICT Guidelines，ICT 安全审计须覆盖以下技术面：

ICT 审计结果须提交《ICT Assurance Statement》并纳入年度合规报告。

7、审计结果的监管披露与董事会责任

• 披露对象： MFSA、FIAU、公司注册处、审计师

• 披露周期： 每年一次（截至次年3月31日前）

• 披露文件：
  1️⃣ 《Audited Financial Statements》
  2️⃣ 《Compliance Audit Report》
  3️⃣ 《ICT Assurance Statement》
  4️⃣ 《MLRO Annual Report》
  5️⃣ 《Board Resolution for Approval of Reports》

董事会须签署《Board Declaration of Compliance》，声明公司持续符合 MiCA 及 MFSA 规定。

8、外部评估（External Assessment）机制

MFSA 可在审计外另行要求外部合规顾问（Approved Compliance Reviewer）进行专项评估，例如：

• MiCA 新规对接评估（MiCA Transition Review）

• 业务扩张合规性评估（Service Expansion Assessment）

• ICT Outsourcing Review

• AML Thematic Review Support

仁港永胜作为长期 MFSA 合作咨询机构，可担任外部评估执行方，出具符合监管格式的独立报告。

9、年度审计执行时间表（2025–2026）

10、仁港永胜《年度审计协助方案》

为协助客户顺利完成年度审计，仁港永胜提供以下标准服务模块：

客户可选择“全托管模式（Turn-key）”，由仁港永胜全程主导审计与监管沟通。

11、仁港永胜唐生结论

MiCA 监管体系的审计要求不仅是形式检查，更是对治理能力与透明度的持续验证。
年度审计是企业维持信任、保障牌照稳定的关键环节。
仁港永胜以国际审计标准与监管经验，为企业提供跨部门协调、审计辅导与全程合规支持。

“合规的最大成本是忽视它。” —— 唐生（Rengangyongsheng）

1️⃣ 外包需求 → 2️⃣ 风险评估 → 3️⃣ 尽职调查（DD） 
↓ ↓ 
4️⃣ 外包审批（Board Approval） → 5️⃣ 合同签署 
↓ ↓ 
6️⃣ 外包监控（Monitoring） → 7️⃣ 退出计划（Exit Pla

生成 → 备份 → 使用 → 旋转（Rotation）→ 销毁

资本 ≥ Max（初始资本, 固定运营费用的 1/4）