《葡萄牙 Portugal（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》
Portugal (MiCA) CASP Authorization — FAQ (Q1–Q400)

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生，Tang Shangyong） 提供专业讲解。

服务商：仁港永胜（香港）有限公司

牌照名称：葡萄牙加密资产服务提供商牌照｜Crypto-Asset Service Provider（CASP）｜MiCA 体系下 Crypto-Asset Service Provider（CASP）授权
主管机构：Banco de Portugal（BdP）为 CASP 授权申请受理/决定机关

适用对象：拟以葡萄牙 Portugal为 MiCA 申请国（Home Member State），申请并运营 CASP（Crypto-Asset Service Provider），并通过 MiCA 护照机制（passporting）向全欧盟跨境展业的机构。

✅ 点击这里可以下载 PDF 文件：葡萄牙 Portugal（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：葡萄牙 Portugal（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

✅ 点击这里可以下载 PDF 文件：关于仁港永胜

法规依据（最新欧盟 + 葡萄牙落地）：

• MiCA：Regulation (EU) 2023/1114（CASP 授权、持续义务、资本与治理、护照通报等）

• Travel Rule / TFR：Regulation (EU) 2023/1113（加密资产转账随行信息）

• 葡萄牙落地：Lei n.º 69/2025（执行 MiCA）、Lei n.º 70/2025（执行 TFR 并衔接 AMLA 等）

• 监管架构口径：葡萄牙 CASP 授权申请提交 Banco de Portugal（BdP），并与 CMVM 协同（BdP 受理后通知 CMVM 等程序安排），BdP 亦就 MiCA 适用与授权要点发布说明。

---

关键法律锚点

MiCA（EU 2023/1114）；葡萄牙执行法 Lei n.º 69/2025（22-12-2025）明确 BdP 受理授权并与 CMVM 协同；Travel Rule（EU 2023/1113）及葡萄牙执行法 Lei n.º 70/2025（22-12-2025）。

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 业务经理 提供专业讲解。

---

第一部分｜监管总览与牌照边界（Q1–Q40）

Q1：什么是 MiCA 下的 CASP？
A：CASP 是在 MiCA 框架下提供“加密资产服务”的受监管主体，必须先获授权后才能在欧盟提供对应服务并可申请护照通报跨境展业。

Q2：葡萄牙 CASP 的主管机关是谁？
A：申请在葡萄牙需向 **Banco de Portugal（BdP）**提交授权申请，并与 CMVM协同处理（BdP 收到申请后通知 CMVM 等机制）。

Q3：没有葡萄牙本地实施法还能申请吗？
A：MiCA 在欧盟直接适用，但授权由“成员国实施法指定的主管机关”执行；葡萄牙已通过 Lei n.º 69/2025 保障 MiCA 执行与监管架构落地。

Q4：Travel Rule 与 CASP 授权的关系是什么？
A：Travel Rule（EU 2023/1113）规定转账随行信息义务；葡萄牙通过 Lei n.º 70/2025 设定执行措施并衔接 AMLA 等欧盟 AML 改革，CASP 一旦涉及转移/托管/平台等转账链路，必须同步落地。

Q5：哪些活动属于“加密资产服务”（必须持 CASP）？
A：例如托管与管理、运营交易平台、加密资产兑换（含法币对加密）、执行订单、接收与传递订单、投顾、组合管理、代表客户转移等（以 MiCA 服务清单为准）。

Q6：OTC 业务是否一定需要 CASP？
A：取决于你是否构成 MiCA 所定义的“兑换/执行/传递/平台/转移”等服务；若你以职业方式对第三方提供相关服务，一般会触发授权要求（需做服务映射与法律定性）。

Q7：钱包服务是否一定需要 CASP？
A：非托管软件钱包（纯技术工具）与托管型钱包（你控制私钥/资产）监管边界不同；若你提供“托管与管理”通常属于 CASP 服务范畴。

Q8：DeFi/DEX 是否可以绕开 CASP？
A：若你对用户提供受监管服务、存在中心化运营控制、提供撮合/执行/托管等功能，仍可能被认定为服务提供；必须做“控制权与服务性质”评估，并准备监管可解释材料。

Q9：提供“加密资产转移（Transfer）”需要额外注意什么？
A：除 MiCA 的服务要求外，Travel Rule 对随行信息、对手方 VASP 传递、异常处理、留存提出硬约束；这往往是补件与检查重点。

Q10：CASP 牌照与发行方（ART/EMT）牌照是同一回事吗？
A：不是。CASP 是“服务提供商授权”；而 ART/EMT 属于稳定币/电子货币代币相关发行监管路径，要求与义务不同（可同时涉及）。

Q11：MiCA 从什么时候开始对 CASP 生效？
A：MiCA 主要条款自 2024-12-30 起适用；BdP 也就该日期起“提供加密资产服务须经授权”的原则进行说明。

Q12：葡萄牙允许“过渡期”继续经营吗？
A：是否有本地过渡安排、过渡条件与截止日，应以 Lei n.º 69/2025 及监管公告/指引为准，并结合你现有身份（如既有 VASP/注册状态）判断。

Q13：在葡萄牙申请 CASP，是否必须先成立葡萄牙公司？
A：实务上通常需要葡萄牙本地法人作为申请主体，并满足“实质运营/有效管理”要求，以便 BdP/CMVM 监管可问责与检查可达。

Q14：可以用其他欧盟国家公司在葡萄牙“直接展业”吗？
A：若你已在某成员国获批 CASP，可通过 MiCA 护照通报在葡萄牙提供服务；但葡萄牙可能仍对营销/消费者保护、投诉处理、本地语言披露等有要求。

Q15：葡萄牙是否会“限制护照通报”？
A：MiCA 设定护照机制，但成员国在消费者保护与监督协调上可能出现更严格实践与争议；欧盟层面也存在对护照/监管套利的讨论与趋严趋势。

Q16：CASP 是否等同“加密交易所牌照”？
A：交易平台只是 CASP 服务之一；CASP 是“服务合集授权”，你申请哪些服务就被授权哪些服务。

Q17：如果只做投顾/研究报告，还需要 CASP 吗？
A：若你向客户提供“就加密资产提供建议”的服务，可能构成 MiCA 下的投顾服务；但也要注意与证券/金融工具边界、以及 CMVM 行为监管期望。

Q18：Token 是否可能被视为金融工具从而落入 MiFID？
A：MiCA 与既有金融服务法并行：若某代币属于金融工具（如证券型），可能进入 MiFID/本地证券监管，而非 MiCA；需要做法律定性。

Q19：葡萄牙对“加密资产”的定义是什么？
A：以 MiCA 统一定义为核心，葡萄牙实施法主要负责执行、主管机关与处罚程序等本地措施。

Q20：CASP 申请最常见失败原因是什么？
A：服务映射不清、资本测算不完整、治理与关键岗位不胜任、AML/Travel Rule 不可运行、IT 证据链不足、外包不可控/无退出。

Q21：BdP 与 CMVM 各自最关注什么？
A：BdP 偏审慎与可持续经营（资本、治理、外包、风控、退出）；CMVM 偏市场行为与客户保护（披露、冲突、平台规则、投诉与营销）。

Q22：是否必须准备葡语材料？
A：通常需要至少提供葡语版本或可接受的双语版本，以便监管审阅、面谈与未来检查；建议以“葡语主文本 + 英语工作底稿”方式管理版本。

Q23：是否可以先做“预沟通（pre-application）”？
A：强烈建议。尤其平台/托管类，预沟通可提前锁定监管关注点与材料口径，减少正式递交后的补件轮次。

Q24：申请过程中会不会有系统演示要求？
A：平台/托管/转移等强 IT 服务通常需要“可演示证据链”（权限、日志、监控、事件响应、BCP/DR），系统演示是常见审查方式。

Q25：能否只做“代理/介绍”不持牌？
A：若你仅做营销介绍且不触发“提供加密资产服务”的实质内容，可能不需要；但一旦涉及报价、撮合、执行、资金/资产触达，就易被认定为服务提供。

Q26：白标/技术外包模式如何合规？
A：白标不等于免责。持牌主体必须对外包服务“可控、可审计、可退出”，并对客户保护、交易监控、Travel Rule 义务承担最终责任。

Q27：是否能用集团其他主体“共用合规/风控人员”？
A：可以考虑集团共享服务，但必须明确：职责、汇报线、冲突隔离、数据访问与监管检查配合；关键岗位仍需确保葡萄牙主体的可问责性。

Q28：MiCA 下是否仍要求遵守 AMLD/本地 AML？
A：是。MiCA 不取代 AML；Travel Rule 与 AMLA 改革进一步提高一致性与执行强度，葡萄牙通过 Lei n.º 70/2025 作衔接修订。

Q29：葡萄牙是否更偏向“强监管”或“友好监管”？
A：应以可验证制度与执行能力为核心；葡萄牙已明确监管分工与执行法，监管重点更趋“实质运营 + 可审计证据链”。

Q30：CASP 是否需要本地办公室？
A：建议具备可证明的本地经营场所与档案管理能力，特别是当你声称关键控制职能在葡萄牙履职时。

Q31：CASP 是否需要购买保险？
A：是否强制取决于具体服务类别与风险画像；但对托管/平台类，监管通常关注客户资产保护与赔付安排（保险/保障机制/资本缓冲）。

Q32：是否能同时申请多项服务？
A：可以，但“服务越多”意味着资本、治理、IT 安全、监控与人员要求同步提高；建议分层规划（先易后难或一次到位）。

Q33：申请周期通常多久？
A：取决于材料成熟度、服务复杂度与补件轮次；平台/托管类通常更长。建议把“差距评估—制度落地—预沟通—正式递交—补件—面谈/演示”按项目管理推进。

Q34：葡萄牙是否支持“沙盒”先行？
A：需以葡萄牙主管机关是否设置相关机制及具体政策为准；即便沙盒，AML/客户保护与安全基线通常不会豁免。

Q35：是否可以先通过护照在葡萄牙展业，再考虑葡萄牙本地牌照？
A：可行的前提是你已在其他成员国获批 CASP 并按规则通报；但若你希望把葡萄牙作为 Home Member State，则仍需在葡萄牙获授权。

Q36：葡萄牙 CASP 是否会与税务（DAC8）产生联动？
A：会。DAC8 推动加密资产交易与客户税务信息交换，倒逼数据治理、客户信息收集与可报告能力建设。

Q37：监管最想看到的“关键交付物”是什么？
A：不是漂亮 PPT，而是：服务映射、治理与三道防线、资本取高测算、AML/Travel Rule 可运行 SOP、IT/日志/权限证据链、外包合同关键条款与退出方案。

Q38：哪些业务最容易被要求补件？
A：交易平台、托管、转移（Travel Rule）、法币出入金相关；因为涉及客户资产、信息传递、交易监控与安全责任边界。

Q39：是否能把核心系统放在欧盟外？
A：并非绝对禁止，但会显著提高外包/数据访问/监管检查与安全证明压力；需要明确审计权、数据可达、事件通报、退出迁移与法规合规。

Q40：葡萄牙路径的“最优策略”是什么？
A：用“BdP 审慎册 + CMVM 行为册”的双册结构一次成型，并用“系统证据链 + 可运行 SOP + 可审计附件编号体系”降低补件轮次。

---

第二部分｜申请主体与实质运营（Substance）（Q41–Q80）

Q41：什么是“有效管理（effective management）”？
A：关键决策与控制应由葡萄牙主体的董事会/高管作出并可追溯（会议纪要、授权矩阵、决策留痕），而非由境外母公司“遥控”。

Q42：Substance 最低可接受组织模型是什么？
A：至少要能证明：治理可问责、合规/AML/风控可执行、IT 安全可控制、客户资产与数据可调取、外包可控可退出。

Q43：董事会成员必须在葡萄牙居住吗？
A：法规不必然要求全部居住，但必须保证“有效管理”与监管沟通可达；关键决策与问责需要能在葡萄牙落地。

Q44：必须雇佣葡萄牙本地员工吗？
A：不一定“数量硬指标”，但需要满足实质运营与控制职能履职；若全部外包或全部在境外，将显著增加补件与不获批风险。

Q45：可以把合规/MLRO 外包吗？
A：可外包部分执行，但持牌主体必须保有内部责任人、监督机制与最终责任；外包需审计权、分包限制、退出方案与证据留存。

Q46：可以把托管/签名（MPC）外包吗？
A：可以，但托管是高风险功能：必须证明密钥控制、权限分层、审计与对账机制、事件响应与退出迁移能力。

Q47：白标交易所（你只负责营销）是否能满足 Substance？
A：通常难。监管会追问谁控制撮合规则、谁控制客户资产/权限、谁执行监控与冻结、谁承担 Travel Rule 传递；如果你控制不了，就不符合“可问责”。

Q48：总部在亚洲/中东的集团，如何在葡萄牙合规落地？
A：建议建立“葡萄牙欧盟合规中台”：董事会/合规/AML/风险/信息安全关键控制链在葡萄牙；集团提供共享资源但不夺取控制权。

Q49：需要哪些“Substance 证据文件”？
A：组织架构图、岗位职责（JD）、授权矩阵（DoA）、董事会章程与委员会 ToR、关键流程图、外包清单与监督计划、数据/日志可达说明、BCP/DR 演练记录。

Q50：监管面谈会如何验证 Substance？
A：会问：谁可暂停业务/冻结客户、异常如何升级、外包故障如何切换、数据如何导出、董事会如何决策、合规如何否决业务。

Q51：葡萄牙公司类型（Lda/SA）选择影响授权吗？
A：主要影响公司治理结构与资本安排；授权关键仍是服务映射、治理与控制、资本与安全证据链。

Q52：可以用分支机构申请吗？
A：通常授权主体为葡萄牙法人与受监管实体；用分支路径需谨慎评估监管可接受性与“谁承担最终责任”。

Q53：董事会应设哪些委员会？
A：常见为风险委员会、审计/内控委员会、合规与AML委员会（可合并但职责需清晰、留痕可审计）。

Q54：Substance 与外包之间的红线是什么？
A：可以外包“执行”，但不能外包“责任与控制”。只要你无法监督、无法审计、无法退出迁移，就触发红线。

Q55：系统部署在云上会被视为外包吗？
A：通常会被视为第三方依赖/外包风险的一部分，需满足合同审计权、数据可达、事件通报与退出迁移要求。

Q56：客户数据必须存放在葡萄牙吗？
A：未必必须“物理在葡萄牙”，但必须保证监管检查可即时调取、跨境传输合规、留存期与删除策略清晰、并可审计。

Q57：可以把客服外包到非欧盟国家吗？
A：可行但需风控：客户信息安全、脚本合规、录音留存、访问控制、分包限制、退出方案，且不应削弱你对投诉处理与披露义务的控制。

Q58：Substance 是否影响护照通报？
A：会。护照通报后，东道国监管可能关注你是否存在“监管套利/空壳”，欧盟层面对护照机制的监管趋严讨论也在增多。

Q59：如何用文件结构“让监管一眼看懂你有 Substance”？
A：把材料拆为：治理册（董事会/三道防线/授权矩阵）+ 运营册（流程/SOP）+ IT 安全册（证据链）+ 外包册（合同与退出）+ AML/Travel Rule 册。

Q60：Substance 的最低办公要求是什么？
A：至少要有可达联系地址、档案与会议留痕机制、可进行监管访谈/检查的安排；对平台/托管类建议配备更完整的本地运营能力。

Q61：关键控制职能可以“兼职”吗？
A：可行但风险更高：必须证明时间投入、独立性、冲突隔离与替代安排；监管更偏好关键岗位专职或明确可用资源。

Q62：如何证明“监管可接入性（regulatory access）”？
A：提供：联系人矩阵、数据导出 SOP、日志检索演示、监管问询响应流程（RFI 响应SLA）、现场检查预案与权限临时开通机制。

Q63：集团共享“交易监控规则库”可以吗？
A：可以共享方法论，但葡萄牙主体必须能解释参数、能调整阈值、能审批例外、能留痕并对结果负责。

Q64：如果业务暂未上线，能否先获批再搭团队？
A：通常不可取。监管倾向看到“已可运行体系”或至少关键控制职能与系统证据链到位，否则补件与拖延概率极高。

Q65：Substance 不足会导致什么后果？
A：典型是：补件、延长审查、附条件授权、或直接不予授权；获批后也会增加检查与整改风险。

Q66：如何设计“最小可行合规组织”（MVP）？
A：先把：合规/MLRO/风控/信息安全/运营负责人就位，并将关键流程（开户、监控、STR、冻结、投诉、外包评估、事件响应）做成可运行 SOP + 记录模板。

Q67：Substance 与“关键岗位值勤”如何衔接？
A：需要值勤表、替补安排、升级路径（on-call）、关键事件 2小时/24小时响应机制与留痕（尤其安全事件与异常转账）。

Q68：葡萄牙实施法对监管分工的意义是什么？
A：它把 MiCA 执行中的程序、主管机关与处罚框架落地，意味着你的材料要同时满足 BdP 与 CMVM 的审查逻辑。

Q69：Substance 章节在 BP 里怎么写最有效？
A：用“三张表 + 三张图”：岗位与职责矩阵、授权矩阵、外包清单；组织架构图、系统数据流/权限流图、关键流程闭环图。

Q70：监管会看“董事会会议频率”吗？
A：会作为治理有效性的侧面证据；建议设定季度例会 + 重大事项临时会议，并形成纪要模板与附件编号体系。

Q71：如何处理集团与葡萄牙主体之间的利益冲突？
A：设立冲突政策、关联交易审批、信息隔离、回避机制、以及对自营与客户订单的公平性约束。

Q72：Substance 是否要求本地 CISO？
A：不必然，但必须有可问责的信息安全负责人并能提供证据链（权限、日志、事件响应、渗透测试与整改）。

Q73：是否需要内部审计功能？
A：通常需要第三道防线；可外包内审，但要有年度计划、抽样测试、整改闭环与董事会监督。

Q74：如何证明“你能暂停业务（kill switch）”？
A：提供：权限设计、操作流程、触发条件、审批与记录模板；并能演示“冻结客户/暂停提币/暂停交易/暂停上币”的实际控制。

Q75：Substance 与客户资产隔离有什么关系？
A：资产隔离、对账与错误更正必须由持牌主体可控制与可解释，不能完全交给境外母公司或第三方。

Q76：如果使用第三方支付（法币出入金），Substance 怎么证明？
A：你必须控制客户资金路径的关键点：KYC/名义账户、对账、退款、冻结、异常交易升级与STR联动。

Q77：监管会要求提供“外包合同全文”吗？
A：经常会要求关键合同条款（审计权、数据权、事件通报、分包限制、终止与交接），特别是云、托管、KYC、Travel Rule 通道。

Q78：Substance 的“退出方案”必须包含什么？
A：第三方替换、数据迁移、客户通知、资产清退、关键岗位替补与监管沟通机制。

Q79：Substance 的“最常见雷区”有哪些？
A：全部外包、无内部责任人；权限不在持牌主体；日志不可导出；外包无退出；董事会形同虚设；合规无法否决业务。

Q80：Substance 最佳实践一句话是什么？
A：把“控制权、证据链、可问责”做成制度与系统，而不是写在 PPT 上。

---

第三部分｜资本金与审慎保障（Q81–Q120）

Q81：MiCA 资本要求的核心原则是什么？
A：CASP 必须持续维持审慎保障，通常按“最低资本（按服务类别）”与“固定开支 25%”双轨并行、取高原则执行。

Q82：最低资本与固定开支 25% 哪个更重要？
A：都重要；监管补件更常出现在“25% 固定开支口径不清/明显低估”，因为它直接反映你能否持续经营。

Q83：不同服务类别的最低资本是否相同？
A：不同。一般投顾/传递/执行较低，兑换/平台更高，托管最高档；你申请多项服务时按最高档计入最低资本（并仍需与 25% 取高）。

Q84：固定开支（overheads）包含哪些成本？
A：应包括人力、系统与云、AML/制裁/链上分析工具、Travel Rule 通道、审计与渗透测试、外包服务、法律合规费用、办公与运维等。

Q85：固定开支口径可以“剔除一次性费用”吗？
A：需谨慎。监管会看你是否人为压低固定开支；建议把周期性合规成本（安全、审计、工具）按年度化纳入。

Q86：资本必须是实缴吗？
A：通常需要证明资本可用性与永久性（own funds 性质）；具体证明文件与接受形式以 BdP/CMVM 审查口径与公司法安排为准。

Q87：资本可以由股东贷款替代吗？
A：一般不建议将“贷款”视为满足最低资本的替代；贷款可用于流动性，但最低资本/自有资金的性质要求更严格。

Q88：监管如何验证资本的真实性？
A：通过银行入资证明、资金路径、股东 SoF/SoW、财务报表、审计/会计确认、以及持续资本监控机制。

Q89：资本不足会发生什么？
A：可能触发整改、限制业务、暂停新增客户、甚至撤销授权等监管措施；因此需设置资本预警阈值与补充触发机制。

Q90：如何做资本预警机制？
A：设定：最低资本线、运营预警线（如 110%）、增长触发线（业务量/客户数/风险暴露增加时），并明确补资流程与董事会决议模板。

Q91：现金流可持续性（sustainability）要怎么证明？
A：提供 3 年财务预测（P&L/现金流/资产负债）、关键假设说明、压力测试与资本补充计划，并把合规成本写实（工具、安全、审计）。

Q92：压力测试应覆盖哪些情景？
A：收入不达预期、交易量下滑、合规成本上升、重大安全事件、外包服务中断、市场极端波动导致客户挤兑/大量提币。

Q93：平台类业务对资本测算有什么特别要求？
A：平台类通常需要更高的 IT、安全、监控与客服成本，固定开支显著上升；若仍按“轻业务”口径填报，极易被补件。

Q94：托管类业务对资本/保障安排有什么特别要求？
A：监管更关注客户资产安全与赔付安排：隔离、对账、权限、保险/保障机制与应急资金；资本不足将直接影响授权判断。

Q95：收入模型不确定怎么办？
A：用保守情景做基线（base case），并准备上行/下行敏感性分析；监管更看重“你是否能在下行情景仍保持合规”。

Q96：是否需要外部审计师？
A：通常需要财务报表与合规体系的独立验证（会计/审计）；具体要求与频次按葡萄牙公司法与监管期望配置。

Q97：资本金是否与“客户资产隔离”联动？
A：是。客户资产隔离失败会触发重大风险与处罚；资本与保障安排也会被用于评估你应对差错/赔付的能力。

Q98：是否可以用稳定币或加密资产作为资本？
A：通常不建议；资本应保持稳定性与可用性，监管更偏好传统可验证的自有资金形式。

Q99：资本与外包合同有什么关系？
A：重大外包（云、托管、KYC、Travel Rule）会引入持续成本与潜在赔付/迁移成本，应纳入固定开支与压力测试。

Q100：资本计算基准年怎么选？
A：若新设公司无上一年度数据，通常以预算与预测作为替代并说明口径；获批后需按实际数据更新与年度复核。

Q101：BdP 最喜欢看到的资本章节写法是什么？
A：一张“资本取高测算表”+ 一页“固定开支口径说明”+ 一页“预警与补资机制”+ 附件“银行证明/股东承诺/财务模型”。

Q102：合规成本应如何列示？
A：建议单列：制裁/PEP、链上分析、交易监控、Travel Rule、审计与渗透测试、SOC/SIEM、培训与独立审查。

Q103：监管会关注“费用定价”与资本吗？
A：会。若你的定价显著低于行业成本，监管可能质疑可持续性与客户保护能力。

Q104：是否可以先以较低服务范围获批，再扩项？
A：通常可作为策略：先获批“轻服务”，建立合规与系统基础，再申请变更/扩项。但扩项仍需补齐资本、IT 与治理。

Q105：扩项是否需要重新审查股东与关键人员？
A：通常会复核，尤其当服务复杂度大幅上升（如增加托管/平台）。

Q106：资本充足就一定能获批吗？
A：不一定。资本只是门槛之一，治理、AML/Travel Rule、IT 安全与外包可控性同样决定成败。

Q107：如何避免“资本口径被监管否定”？
A：把口径写清楚：哪些算固定开支、哪些是一次性、如何年度化；并提供第三方会计口径支持与合理性说明。

Q108：资本不足的整改通常是什么？
A：补资、削减业务范围、降低风险暴露、加强监控、暂停新增客户或限制某些服务，直至达标。

Q109：现金流预测需要到多细？
A：建议月度至少 12 个月、季度到 24–36 个月；并说明关键假设与触发事件的应对。

Q110：监管会要求“资本来源解释信”吗？
A：经常会要求，且与股东 SoF/SoW 尽调联动。

Q111：股东承诺函的关键要素是什么？
A：承诺补充资本的触发条件、时间、方式；是否不可撤销；董事会如何启动；以及资金来源的可验证性。

Q112：可以用“融资计划”替代承诺函吗？
A：融资计划可作为补充，但监管更偏好可执行、可验证的承诺与已落实资金路径。

Q113：如果业务增长很快，资本如何动态管理？
A：建立季度资本复核与增长触发机制（客户数、交易量、托管规模、异常事件），并将其写入风险偏好与董事会 KPI。

Q114：资本与处罚的关系是什么？
A：资本不足既可能是违规，也会被视为经营风险；葡萄牙实施法落地后，违规后果更可预期且更严格。

Q115：是否必须设置独立财务负责人（CFO）？
A：不必然，但需要具备财务与资本管理能力的责任人，能解释模型、口径与预警机制。

Q116：资本章节最常被补件的三点？
A：25% 固定开支口径不清；合规成本低估；资本补充机制不可执行。

Q117：如何把资本章节写成“监管一眼通过”？
A：用表格化、可审计附件编号：测算表—口径说明—财务模型—银行/会计证明—承诺函—压力测试。

Q118：可以把资本要求写进股东协议吗？
A：建议写入（补资义务、稀释机制、违约责任），并提供监管可读摘要。

Q119：资本之外，监管还会看“客户资产保障”吗？
A：会。尤其托管/平台，资产隔离、对账、权限与事件响应往往比资本数字更关键。

Q120：资本模块一句话交付标准？
A：资本不是“数字”，而是“制度 + 现金流 + 触发机制 + 证据链”。

---

第四部分｜股东/UBO/董事适当人选（Fit & Proper）+ SoF/SoW（Q121–Q200）

你特别点名“董事/股东/UBO 要求（10%/重大持股、声誉、资金来源、穿透、持续通知）”，这一段我按“可递交尽调包”口径写。

Q121：哪些人必须做 Fit & Proper 审查？
A：通常包括董事、高管、关键职能负责人，以及达到或超过“重大持股/控制”门槛的股东与最终 UBO（以 MiCA 与葡萄牙实施法及监管要求为准）。

Q122：10% 股权为什么是关键阈值？
A：在欧盟金融监管实践中，10% 往往被视为“重大持股/显著影响”的分界，触发更严格的披露、审查与持续通知义务（具体以适用条款与监管口径为准）。

Q123：如果股东低于 10% 就一定不用披露吗？
A：不一定。若存在一致行动、协议控制、否决权、董事委派权等“控制性权利”，即便低于 10% 也可能被要求披露与审查。

Q124：什么是 UBO 穿透？
A：必须穿透到最终自然人（或最终控制者），并解释控制链条、表决权、协议安排与受益关系。

Q125：离岸控股结构会被拒绝吗？
A：不必然，但会显著提高穿透、SoF/SoW、税务与合规风险解释压力；需提交结构图、控制权说明信与证明文件。

Q126：Fit & Proper 的核心维度有哪些？
A：一般包括声誉与诚信、能力与经验、财务稳健性、时间投入与独立性/利益冲突管理（以监管评估为准）。

Q127：声誉审查通常查什么？
A：刑事记录、重大诉讼与执行、监管处罚、破产/失信、制裁/负面新闻与职业道德事件，并要求解释与证明。

Q128：加密行业从业经历会被视为加分吗？
A：会加分，但必须与受监管框架匹配：你不仅要懂业务，还要能解释 AML、客户保护、治理与 IT 安全。

Q129：董事必须具备哪些能力组合？
A：建议形成“集体胜任力”：至少覆盖金融/风险/合规/AML/IT 安全/运营管理中的多个维度，并可通过履历与案例证明。

Q130：独立董事是否必要？
A：视规模与复杂度而定；但对于平台/托管类，设置独立监督机制（独立非执行董事、审计委员会）通常更有利。

Q131：SoF 与 SoW 的区别是什么？
A：SoF（资金来源）解释“投入这次资本的钱从哪来”；SoW（财富来源）解释“整体财富如何累积形成”。

Q132：SoF 通常需要哪些证明？
A：银行流水、分红/薪酬证明、资产出售合同与回款、投资收益证明、税务证明、以及资金路径（从哪里到哪里、经哪些账户）。

Q133：SoW 通常需要哪些证明？
A：长期收入轨迹、企业经营利润与股权收益、资产负债概览、主要资产形成与纳税记录，形成可解释时间线。

Q134：加密资产收益可以作为 SoF/SoW 吗？
A：可以但更难：需提供交易所流水、链上地址证明、对手方合规性解释、税务处理与反洗钱风险说明。

Q135：监管会关注“资金是否来自受制裁主体”吗？
A：会。必须做制裁筛查与对手方尽调，命中要有处置结论与复核留痕。

Q136：如果股东是公司（法人股东），怎么做尽调？
A：需要法人本身的注册文件、受益人穿透、财务状况、经营证明、董事与控制人背景、以及其资金来源证明。

Q137：如果股东来自高风险国家怎么办？
A：要提升 EDD：更严格的 SoF/SoW、制裁筛查、交易监控与持续复核，并在风险评估中解释风险缓释措施。

Q138：什么是“持续通知义务”？
A：持牌后，重大事项变更（股权、控制权、董事高管、关键外包、业务范围等）通常需要事前批准或事后及时通知 BdP/CMVM。

Q139：哪些股权变更最敏感？
A：达到/跨越重大持股阈值、控制权变化、UBO 变化、一致行动协议变化、附带否决权/优先权的协议变化。

Q140：股东协议里哪些条款会触发监管关注？
A：否决权、董事委派权、优先清算/回购安排、利润分配与资金抽离条款、对外包/系统控制权条款。

Q141：董事/高管变更需要通知吗？
A：通常需要（关键岗位更敏感）；且可能触发重新适当性评估与面谈。

Q142：关键岗位有哪些？
A：合规负责人、MLRO、风险负责人、信息安全负责人、运营负责人等；平台/托管类更强调信息安全与运营控制。

Q143：如何准备“董事/股东/UBO 尽调包”？
A：建议采用“12件套”：结构图、身份证明、地址证明、履历、无犯罪/无破产声明、监管处罚声明、制裁筛查报告、SoF/SoW 文件、税务文件、资金路径图、解释信、签字承诺书。

Q144：无犯罪证明是否必须？
A：视监管要求与风险评级，通常建议准备；若无法取得，需提供替代证明与声明并解释原因。

Q145：监管会问“你为什么适合经营受监管加密业务”吗？
A：会。回答必须落到：治理、风险控制、AML/Travel Rule、客户保护、IT 安全与外包治理，而不是“我懂币圈”。

Q146：若股东曾参与项目失败/破产怎么办？
A：不一定否决，但必须如实披露、解释背景、证明无不当行为、以及提出风险缓释（限制权利、加强治理、独立监督）。

Q147：如何处理股东与客户/供应商的关联关系？
A：必须披露并纳入利益冲突政策：关联交易审批、定价公允、回避机制与留痕审计。

Q148：监管是否会查媒体负面报道？
A：会。建议准备“负面舆情解释包”：事实、裁判/结论、整改、以及与本次申请无关或已解决的证据。

Q149：重大持股是否包括间接持股？
A：是。监管看“最终受益与控制”，间接持股与协议控制同样计入影响。

Q150：股权结构频繁变更会怎样？
A：会显著增加监管疑虑（稳定性、资金来源、监管套利），建议在申请期保持结构稳定并设置变更冻结期。

Q151：股东资金是否必须进入公司对公账户？
A：通常是，且需提供入资证明、银行流水与会计确认；绕开对公路径会引发强烈质疑。

Q152：能否用第三方代持？
A：极不建议。代持直接冲击 UBO 透明度与适当性评估，通常会成为否决点。

Q153：是否需要披露投资协议（SPA/SHAs）？
A：经常需要披露关键条款摘要或提供全文（至少提供影响控制权与资金安排的条款），以便监管判断控制与冲突。

Q154：董事需要投入多少时间？
A：需与业务复杂度匹配；平台/托管类要求更高。监管会问你如何参与重大决策与监督、是否只是挂名。

Q155：董事是否需要本地语言能力？
A：非硬性，但对面谈、投诉处理与监管沟通很关键；可通过双语团队与翻译机制补足，但责任仍在董事会。

Q156：如何证明董事“可问责”？
A：提供会议纪要、决议模板、授权矩阵、KPI 与监督计划（如外包年度评估、合规季度报告）。

Q157：董事/高管是否要签署承诺书？
A：通常建议：适当性声明、利益冲突披露、时间投入承诺、合规与保密承诺、以及对监管信息真实完整的承诺。

Q158：如果 UBO 是家族信托怎么办？
A：需穿透到受益人/设立人/保护人等关键角色，解释控制链条与受益安排，并提供信托契约/证明文件摘要。

Q159：如果股东是上市公司怎么办？
A：仍需提供控制权与重大股东信息、董事会决议、资金来源路径与合规证明；上市背景通常有助于透明度。

Q160：股东是否需要具备行业经验？
A：不必然，但若股东对经营有控制与影响，监管会关注其理解监管义务的能力与是否支持长期合规投入。

Q161：重大股东是否需要接受面谈？
A：可能。尤其当其对经营与资金安排具有决定性影响时，监管可能要求解释其背景、资金与治理安排。

Q162：如何设置“股权与治理的合规护栏”？
A：通过股东协议与公司章程明确：合规否决权、资本补充义务、关联交易审批、以及重大事项的董事会独立决策机制。

Q163：SoF/SoW 文件是否需要公证/认证？
A：视文件来源国与监管要求；高风险或非欧盟文件常需要更强认证链（公证、认证、翻译）。

Q164：资金来源涉及加密兑换成法币怎么办？
A：要提供：兑换平台合规证明、交易记录、链上地址对应关系、资金入账路径、以及税务处理说明。

Q165：如何处理“多层 SPV + 可转债 + 期权”结构？
A：必须把所有可能改变控制权的工具透明披露（触发条件、转换比例、投票权），并给出“控制权静态/动态”两套结构图。

Q166：监管会关注股东是否可能抽逃资金吗？
A：会。需要限制资金分红与关联交易、设定资本维持条款与董事会审批；并在财务政策中说明。

Q167：如果未来计划引入新投资人怎么办？
A：建议写入“未来融资与变更治理流程”：触发通知、尽调要求、冻结期、以及对监管沟通的计划。

Q168：董事曾在其他金融机构受罚怎么办？
A：要披露并解释；关键是是否涉及诚信/能力重大缺陷，以及你采取何种缓释（角色调整、独立监督、培训）。

Q169：如何把 Fit & Proper 做成“可审计”材料？
A：把每个个人的证据文件编号归档，并形成“适当性评估表”（标准问题清单 + 结论 + 复核人 + 日期）。

Q170：持续通知的时限如何把握？
A：以葡萄牙实施法与监管要求为准；建议建立“重大事项日历与触发器”，做到事前评估、事后快速报送。

Q171：什么是“一致行动人”风险？
A：多个股东虽各自低于阈值，但通过协议或共同控制形成实质控制；必须披露并按重大持股审查。

Q172：股东之间借款/资金往来需要披露吗？
A：建议披露，尤其若影响资本真实性、资金来源与利益冲突；监管不喜欢“循环出资/对敲”。

Q173：董事是否可以兼任集团其他公司职务？
A：可以，但必须披露并评估冲突与时间投入，必要时设回避机制。

Q174：董事是否需要持有公司股权？
A：不必然；但持股会带来冲突，需纳入冲突政策与交易限制。

Q175：员工持股计划（ESOP）会影响重大持股审查吗？
A：一般不会直接触发，除非集中控制或单一受益人达到重大持股阈值；仍需披露治理与激励安排。

Q176：如果股东是基金（LP/GP 结构），UBO 怎么穿透？
A：需识别最终控制者（GP/管理人）与主要受益人，并解释控制权与受益安排，提供基金文件摘要。

Q177：监管是否接受“隐私原因不披露 UBO”？
A：通常不接受。UBO 透明度是核心监管要求之一。

Q178：如何处理“名义股东”与“实际受益人”不一致？
A：必须纠正并披露实际受益人；否则风险极高。

Q179：SoF/SoW 可以只提供声明吗？
A：不够。声明必须配合客观文件证据；越高风险、越需要强证据链。

Q180：股东来自加密行业是否会被更严格审查？
A：可能。尤其关注其历史合规记录、资金路径与对手方风险、以及是否涉及高风险辖区与制裁风险。

Q181：葡萄牙实施法对处罚更严会影响 Fit & Proper 吗？
A：会提高监管对诚信、记录与持续通知的敏感度；历史违规与隐瞒将更难被容忍。

Q182：董事/股东的“持续适当性”怎么做？
A：建立年度复核：更新制裁筛查、负面新闻、诉讼与财务状况；重大变更即时触发复核。

Q183：如果股东是国企/政府背景如何处理？
A：透明披露控制权、资金来源与决策链条；通常透明度更高，但仍需 SoF/SoW 与制裁筛查。

Q184：能否用“服务商代持股权”以便快速获批？
A：不建议。监管会追问真实控制与受益人，代持会直接触发红线风险。

Q185：董事/高管简历应该怎么写才符合监管口径？
A：采用“监管版 CV”：职责—经验—证据—可解释案例，并映射到拟任岗位职责（合规、风控、运营、安全）。

Q186：是否需要提供推荐信或资质证书？
A：不是必需但有帮助；关键是可解释的相关经验与可运行体系的落地能力。

Q187：如何减少因股东结构复杂导致的补件？
A：一次性提交：双层结构图（法律持股 + 实质控制）、资金路径图、协议控制摘要、以及逐层证明文件清单。

Q188：如果股东将来计划退出/转让股权怎么办？
A：在 BP 里写“股权变更治理”：触发通知、尽调、监管沟通与过渡安排；避免监管认为你是“短期套利”。

Q189：股东能否要求分红优先？
A：可在协议里安排，但必须确保资本维持与客户保护优先；过度分红会被视为抽逃与可持续性风险。

Q190：监管会问“你为什么选择葡萄牙作为 Home Member State”吗？
A：会。建议用合规与运营理由回答（团队、控制、治理、欧盟战略），避免被认为是“监管套利”。

Q191：重大股东是否需要签署资本补充承诺？
A：强烈建议，特别是平台/托管类；监管会把它视为可持续经营的重要证据。

Q192：若股东资金来自贷款怎么办？
A：需披露贷款合同、还款来源与不会影响资本稳定性的证明；监管对“借钱出资”会更谨慎。

Q193：如何处理“加密资产抵押贷款出资”？
A：风险更高，需证明抵押物稳定性、清算机制、资金到位与税务处理，并解释反洗钱与制裁风险。

Q194：如果董事/股东为多国税务居民怎么办？
A：需披露税务居民身份并说明税务合规；同时 DAC8 趋势下，税务信息与数据治理会更受关注。

Q195：能否只披露“最大股东”，不披露小股东？
A：需按监管要求披露；但对于重大持股与控制链条必须完整透明。

Q196：如何准备“控制权说明信（Control Narrative）”？
A：用一页写清：谁最终控制、控制方式（股权/协议/董事委派/否决）、重大决策机制、以及如何防冲突与确保独立治理。

Q197：监管会看“董事薪酬激励”吗？
A：会。过度激励可能导致风险偏好过高；建议设置与合规 KPI 绑定的薪酬政策。

Q198：高管曾在交易所/OTC 工作是否需要额外解释？
A：需要解释其合规经验、风控意识与对 Travel Rule/AML 的理解，并展示其能建立制度而非只会“做业务”。

Q199：董事/股东的“最常见雷区”是什么？
A：UBO 不透明、代持、资金来源解释不清、负面事件隐瞒、控制权协议未披露、以及频繁结构变更。

Q200：Fit & Proper 章节交付一句话标准？
A：把“人”和“钱”做成可穿透、可证明、可持续通知、可审计的证据链。

---

第五部分｜公司治理（Governance）与“三道防线”（Q201–Q260）

Q201：什么是“三道防线”在 CASP 的最小合规落地？
A：一线（业务/运营）可执行 SOP；二线（合规/风险/AML/信息安全）能制定标准+监控；三线（内审）能抽样测试+整改闭环。

Q202：监管最爱问的“治理三件套”是什么？
A：董事会授权矩阵（DoA）+ 委员会章程（ToR）+ 管理层例会与上报机制（MI 报表）。

Q203：董事会在 MiCA 下要承担哪些核心责任？
A：经营可持续、客户保护、利益冲突管理、外包可控、重大事件处置、关键岗位胜任与问责（可被追责）。

Q204：治理文件最少要有哪些？
A：章程/治理架构图、董事会与委员会 ToR、DoA、冲突政策、关联交易政策、薪酬政策、记录保存制度、外包治理制度、事件管理制度。

Q205：董事会会议频率建议？
A：季度例会 + 重大事项临时会；平台/托管类建议月度经营风险回顾会（含安全/合规 MI）。

Q206：什么叫“治理可审计”？
A：每项关键决策都有：议题/材料、风险评估、决议、执行人、截止日期、复盘证据（含版本号与附件编号）。

Q207：如何设置“合规否决权”？
A：在 DoA 与流程中明确：上线新产品/上币/大客户例外/高风险国家准入等，必须由合规/AML 二线签核，否则不得执行。

Q208：利益冲突管理最低要求？
A：识别冲突（自营/做市/关联方/员工交易）→ 预防（隔离墙、权限分层）→ 披露（对客户）→ 处置（回避与审批）。

Q209：平台同时做自营/做市可以吗？
A：可，但要“透明披露 + 冲突隔离 + 公平撮合规则 + 交易监控”，并形成可证明的执行记录。

Q210：关联交易（如集团内外包）怎么合规？
A：必须走关联交易审批：定价公允、服务范围、SLA、审计权、分包限制、退出与数据交接，并留痕。

Q211：薪酬政策为什么会被问？
A：监管担心“激励导致过度冒险”，尤其平台/托管；建议把合规 KPI（STR 质量、重大事件响应、投诉率）写入绩效。

Q212：治理与“实质运营”关系？
A：治理是 Substance 的证据核心：谁在葡萄牙决策、谁可暂停业务、谁能调日志、谁与 BdP/CMVM 沟通。

Q213：董事会要不要设风险偏好（Risk Appetite）？
A：要。至少包括：客户类型/国家、产品范围、杠杆与保证金、上币门槛、异常交易容忍度、外包依赖度上限。

Q214：合规年度计划应包含哪些？
A：年度培训、制度复核、抽样审查、外包年度评估、制裁/PEP 规则库升级、Travel Rule 演练、BCP/DR 演练。

Q215：管理信息（MI）报表至少有哪些？
A：KYC/EDD 通过率、制裁命中、异常交易告警、STR 统计、投诉与退款、系统可用性、权限变更、外包 SLA、事件与整改闭环。

Q216：记录保存（record keeping）最低要求？
A：客户资料、交易与订单簿、资金与资产流水、沟通与投诉、监控告警与处置、STR/内部报告、权限与日志、外包评估与审计证据。

Q217：能否只保存在第三方系统里？
A：不建议。即便外包，你也必须能随时导出、可读可检索、可提供监管检查并满足留存期要求。

Q218：治理里“重大事项清单”通常有哪些？
A：股权/控制变更、关键人员变更、重大外包、系统迁移、重大安全事件、重大投诉/赔付、产品重大变更、停止业务/清退。

Q219：重大事项需要通知 BdP/CMVM 吗？
A：通常需要（视事项性质可能“事前批准/事后通知”）；葡萄牙 Lei n.º 69/2025 已明确 BdP 与 CMVM 协同机制。

Q220：内审可以外包吗？
A：可以，但三线职责不能缺失：需年度内审计划、抽样范围、整改闭环、向董事会汇报与追踪。

Q221：如何做“整改闭环”合规证据？
A：每条发现→根因→整改措施→责任人→截止日→复测结果→关闭记录（含证据附件）。

Q222：治理最常见的“补件点”是什么？
A：授权矩阵不清、合规无否决权、委员会形同虚设、记录与证据链不完整、关联方外包不可控。

Q223：董事会成员需要懂技术吗？
A：不要求人人懂，但必须覆盖“集体胜任力”：至少有人能问清楚权限、日志、风控与事件响应。

Q224：应如何设置“上币委员会/Token Listing”治理？
A：建立多维评分：法律定性、市场操纵风险、技术审计、发行方尽调、制裁风险、流动性与做市冲突、披露与客户适当性。

Q225：上币评估要不要留痕？
A：必须。上币是监管高风险点：要保存评估表、会议纪要、否决理由、条件批准与复评周期。

Q226：客户适当性（suitability/appropriateness）要怎么做？
A：根据产品风险分级→客户风险画像→限制高风险产品准入（或强化披露/考试/冷静期）→留痕。

Q227：营销合规的治理抓手是什么？
A：营销审批流程：合规审阅（文案/风险提示/目标客群）→版本控制→投放渠道白名单→留存与复盘。

Q228：客户资产保护的治理要点？
A：隔离、对账、权限分层、多签/MPC 控制、热冷钱包政策、异常提币审批、赔付与错误更正机制。

Q229：什么是“客户资产对账”监管口径？
A：日对账（链上/账面/客户明细一致）、差异解释、差错更正与客户通知流程、审计可验证。

Q230：平台风控规则能由集团统一下发吗？
A：可以共享模型，但葡萄牙主体必须能解释参数、能修改阈值、能审批例外、能对结果负责并留痕。

Q231：如何设计“岗位分离（segregation of duties）”？
A：开户/KYC 与交易审批分离；提币发起/审批/执行分离；权限授予与复核分离；开发与生产发布分离。

Q232：最关键的“权限三张表”是什么？
A：权限角色矩阵、关键操作清单（含双人复核）、管理员权限审计报告（月度）。

Q233：员工个人交易（PA dealing）需要管吗？
A：需要。设黑窗期、禁止内幕/操纵、申报与审批、账户披露、抽查与处罚机制。

Q234：投诉处理的治理指标是什么？
A：响应 SLA、结案时间、赔付率、重复投诉率、根因分类与制度修复闭环。

Q235：治理是否要求独立合规官？
A：不必然“独立董事”，但合规职能必须具备独立性：直线汇报董事会/委员会、不得被业务压制。

Q236：董事会如何监督 AML/Travel Rule？
A：要求季度 AML 报告：KYC/EDD、告警、STR、制裁命中、Travel Rule 失败率与对手方覆盖、整改与培训。

Q237：治理里对“外包”的最低监督动作？
A：外包前尽调+风险评级；合同关键条款；月度 SLA；年度审计/复评；重大事件通报；退出演练。

Q238：什么叫“外包退出演练”？
A：模拟第三方终止：数据导出、系统切换、客户通知、业务连续性、权限回收与证据留存。

Q239：治理与处罚的关系？
A：治理缺失通常被认定为“系统性控制不足”，在葡萄牙执行法下会更容易触发行政处罚与整改。

Q240：BdP/CMVM 面谈最常问的治理问题？
A：谁能暂停业务？谁决定上币？谁批准高风险客户？谁能调取日志？谁与外包商谈判与审计？谁对 STR 质量负责？

Q241：如何写“治理章节”让监管快速通过？
A：用“表格化+附件编号”：组织架构图、三道防线图、DoA、委员会 ToR、关键流程 RACI、MI 报表样例、会议纪要样例。

Q242：治理里需要“年度培训计划”吗？
A：需要。尤其 AML/制裁/Travel Rule/市场操纵/信息安全/数据保护，培训记录要可审计。

Q243：治理里如何体现“客户保护优先”？
A：把客户资产隔离、披露、投诉、错误更正、风控限制写入董事会 KPI 与决策门槛（例如上币/高杠杆禁入）。

Q244：治理是否必须有政策版本控制？
A：必须。政策应具备：版本号、生效日、批准人、修订记录、适用范围、关联流程与表单。

Q245：治理文件是否需要葡语？
A：实务强烈建议葡语或双语，以便 BdP/CMVM 审阅、检查与执法。

Q246：治理里“数据治理”要写什么？
A：数据字典、数据血缘（来源/去向）、质量校验、留存期、访问控制、导出接口、对 DAC8/监管报告字段的准备。

Q247：如何处理“监管问询（RFI）”治理？
A：建立 RFI 响应机制：负责人、材料映射表、SLA、版本管理、对外口径统一、证据链核验。

Q248：治理里的“危机管理”最小要求？
A：重大事件分级、应急小组、通报路径、客户公告模板、监管通报模板、取证与复盘机制。

Q249：治理里是否要写“有序退出/清退计划”？
A：建议写。平台/托管尤其要说明：停止新增客户、资产清退、客户通知、对账结清、数据留存与监管沟通。

Q250：治理中“禁止事项”要列吗？
A：要。比如：代持/不透明 UBO、绕开 KYC、无对账放行提币、对制裁命中放行、未审批上币等。

Q251：董事会如何监督“市场滥用/操纵”？
A：要求市场监控规则库、做市披露、异常交易调查流程、冻结/下架机制、与执法协作预案。

Q252：治理里要不要“独立复核”机制？
A：要。关键例外（高风险客户、PEP、异常提币、上币条件批准）需二线独立复核与留痕。

Q253：如何证明“合规不是摆设”？
A：提供真实样例：拒绝客户记录、冻结提币记录、STR 提交流程、上币否决纪要、外包审计整改记录。

Q254：治理里“季度合规报告”建议结构？
A：风险概览→关键指标→重大事件→整改闭环→外包评估→下季度计划→需要董事会决策事项。

Q255：治理里“年度合规审查”要做什么？
A：政策复核、抽样测试、系统权限复核、Travel Rule 覆盖率复核、KYC 质量复核、供应商复评、培训复盘。

Q256：治理里如何体现“持续适当人选（fit & proper ongoing）”？
A：年度背景复核（制裁/负面新闻/诉讼）、利益冲突更新、时间投入确认、再培训记录与必要时岗位调整。

Q257：治理里“审计师/会计师”角色是什么？
A：验证财务与资本、审计关键控制与对账证据，为监管提供独立可信度（尤其资本与客户资产保护）。

Q258：治理最容易被忽略的细节？
A：权限变更留痕、例外审批的证据、外包分包链条、客服话术与披露一致性、版本控制。

Q259：治理与葡萄牙监管分工如何写？
A：明确：授权与审慎沟通走 BdP 为主；市场行为与投资者保护 CMVM 参与；重大事项按葡萄牙协同机制报送。

Q260：治理模块一句话交付标准？
A：把“谁负责、怎么做、怎么留证据、怎么被检查”写到位。

---

第六部分｜关键人员胜任力（含 BdP/CMVM 面谈必问）（Q261–Q310）

Q261：关键岗位（Key Functions）通常有哪些？
A：CEO/COO、合规负责人（Compliance）、MLRO、风险负责人、信息安全负责人（CISO/IS）、财务负责人、运营负责人、客服/投诉负责人。

Q262：关键岗位需要哪些“可证明材料”？
A：监管版 CV、岗位职责 JD、聘任决议、时间投入声明、无冲突声明、培训与资格证明、面谈问答准备稿。

Q263：监管面谈最常问 CEO 什么？
A：商业模式边界、盈利可持续、风险偏好、重大事件处置、外包依赖、如何确保客户保护与合规优先。

Q264：监管面谈最常问 MLRO 什么？
A：风险评估方法、KYC/EDD 流程、制裁与PEP、交易监控规则库、STR 触发与质量、Travel Rule 异常处理。

Q265：监管面谈最常问合规负责人什么？
A：合规否决权如何落地、营销审批、冲突管理、投诉闭环、培训计划、持续监管报告与RFI响应机制。

Q266：监管面谈最常问信息安全负责人什么？
A：权限模型、日志审计、密钥管理、事件响应、渗透测试与整改、外包云安全、BCP/DR。

Q267：关键人员是否必须在葡萄牙？
A：未必全部，但必须确保“有效管理与可问责”，关键控制职能最好能在葡萄牙可达、可面谈、可检查。

Q268：可以一人多岗吗（如 CO=MLRO）？
A：小规模可行但风险更高：需证明独立性、时间投入、冲突隔离、替补安排；平台/托管更不建议。

Q269：关键岗位的替补（deputy）要准备吗？
A：要。至少 MLRO/信息安全/运营要有替补与值勤安排（on-call），并形成值勤表与升级路径。

Q270：如何写“时间投入证明”？
A：写明每周小时数、关键会议参与、应急值勤责任、禁止冲突安排；并与薪酬/合同一致。

Q271：监管会要求现场演示由谁来做？
A：通常要求关键岗位（运营/安全/合规）亲自演示或至少能解释关键控制点，而不是由外包商代答。

Q272：关键人员最常被否决原因？
A：经验不匹配（只懂业务不懂监管）、无法解释流程证据链、时间投入不足、存在利益冲突、过往重大负面记录。

Q273：如何准备“30分钟面谈开场陈述”？
A：结构：业务边界→客户与产品→三道防线→AML/Travel Rule→客户资产与安全→外包治理→报告与持续监管。

Q274：合规官必须能背哪些“数字”？
A：风险评级逻辑、EDD触发条件、留存年限（按适用法）、STR时效、Travel Rule 字段与失败处理路径（按你系统实际）。

Q275：MLRO 的 STR 质量如何证明？
A：用“案例包”：告警→调查→结论→提交STR→后续跟踪→关闭；每一步有证据与时间戳。

Q276：平台类运营负责人必须懂什么？
A：订单簿/撮合、异常行情保护、市场监控、冻结/下架、客户资产对账、事故应急与复盘机制。

Q277：托管负责人必须懂什么？
A：热冷钱包策略、多签/MPC、密钥备份与恢复、权限分层、提币审批、链上监控、对账与差错更正。

Q278：财务负责人必须懂什么？
A：资本取高测算、固定开支口径、预警与补资机制、客户资金隔离会计处理、审计协作与监管报表口径。

Q279：培训体系要怎么写？
A：新员工入职培训 + 年度复训 + 关键岗位专项（AML/制裁/Travel Rule/市场操纵/安全事件/客户投诉），附签到与测试记录。

Q280：如何证明“关键岗位独立性”？
A：汇报线（直达董事会/委员会）、绩效不由业务单方决定、能否否决业务、是否有资源预算与访问权限。

Q281：监管问“你如何处理高风险国家客户”？
A：答：风险评估→限制准入/强化EDD→资金路径验证→增强监控→必要时拒绝/终止→留痕与必要时STR。

Q282：监管问“你如何处理制裁命中”？
A：答：自动筛查→二线复核→冻结与暂停→必要时上报→保留证据→误报解除流程（双人复核）。

Q283：监管问“Travel Rule 失败怎么办”？
A：答：设置失败队列与重试→人工复核→对手方VASP白名单/黑名单→必要时拒绝转账→记录与统计。

Q284：监管问“客户申诉与投诉怎么处理”？
A：答：SLA、分级、证据采集、赔付/纠错、根因分析与制度修复、重大投诉上报董事会与监管沟通预案。

Q285：监管问“你如何防止市场操纵”？
A：答：监控规则库（拉盘砸盘/刷量/对倒/夹子/自成交）+ 调查流程 + 冻结措施 + 上币/下架治理。

Q286：关键人员是否需要葡语能力？
A：非硬性但强烈建议；至少应具备葡语材料与面谈翻译机制，且确保不影响问责。

Q287：关键岗位任命是否要董事会决议？
A：建议要：体现治理与问责，同时便于监管检查与持续通知。

Q288：人员外包最敏感的岗位是什么？
A：AML/交易监控、托管关键控制、安全事件响应；外包可执行但不可失去控制与证据链。

Q289：如何用 RACI 表让监管信服？
A：把每条关键流程（开户、监控、提币、上币、投诉、事件、外包评估）标明 Responsible/Accountable/Consulted/Informed。

Q290：是否需要“独立审查报告”（如AML有效性评估）？
A：强烈建议：第三方或内审对 AML/Travel Rule/监控有效性做年度评估，提升可信度。

Q291：面谈时最忌讳的回答是什么？
A：“这是外包商做的”“我们以后再做”“系统还没准备好”“规则还没定”。监管要看“现在就能运行”。

Q292：如何准备“系统演示脚本”？
A：按监管思路：开户→制裁筛查→风评→交易→告警→调查→冻结→STR→Travel Rule→提币审批→日志导出。

Q293：关键岗位的合同要注意什么？
A：岗位职责、保密与合规义务、冲突披露、配合检查、值勤与应急责任、离职交接与权限回收。

Q294：离职交接为何会被问？
A：关键人员离职是监管风险点：必须有交接清单、权限回收、未结事项移交与董事会通知。

Q295：如何证明人员“持续胜任”？
A：年度KPI、培训记录、抽样复核、面谈记录、整改闭环与绩效评估（含合规维度）。

Q296：监管是否会要求提供组织通讯录/值勤表？
A：经常会。建议准备“监管联络包”：联系人矩阵、值勤表、升级路径、RFI响应流程。

Q297：如何处理跨境团队（非欧盟）参与运营？
A：可，但需明确访问控制、数据最小化、审计日志、监督机制；关键控制仍须由葡萄牙主体可问责。

Q298：面谈中如何解释“为何选葡萄牙为 Home MS”？
A：以合规中台/运营与人才/监管协同与长期投入回答，避免“监管套利”。

Q299：关键人员可以是股东吗？
A：可以，但要披露利益冲突与回避机制，避免其因经济利益推动过度冒险。

Q300：关键人员最常被要求补件的材料？
A：监管版CV、无冲突声明、时间投入声明、过往处罚/诉讼解释信、岗位职责与RACI映射。

Q301：如何编制“面谈题库（可背诵版）”？
A：按模块：业务边界、治理、资本、AML/Travel Rule、IT安全、外包、客户保护、报告与检查；每题三段式：原则—流程—证据。

Q302：如何应对“现场突击检查”的人员安排？
A：设检查指挥官（合规/法务）、数据提取负责人（IT）、业务解释负责人（运营），并准备检查室与导出脚本。

Q303：关键人员能否远程参与监管会议？
A：可，但应确保可验证身份与可展示材料；重大面谈建议现场或至少保证稳定翻译与演示环境。

Q304：监管问“你如何确保客户资金不被挪用”？
A：答：隔离账户/链上地址隔离、日对账、权限分层、双人审批、审计、异常差异立刻冻结并纠错。

Q305：监管问“你如何处理数据泄露”？
A：答：事件分级→遏制→取证→通报→客户通知→补救→复盘整改；并展示演练记录与模板。

Q306：监管问“你如何处理冻结/执法协作”？
A：答：冻结权限、合法请求验证、执行记录、客户通知例外规则、链上追踪与资产保全流程。

Q307：监管问“你如何处理产品迭代（DevOps）合规”？
A：答：变更管理、审批、测试、上线窗口、回滚计划、日志留存、关键参数变更二线复核。

Q308：关键岗位“预算”会被问吗？
A：会。尤其安全与合规工具预算；预算不足会被视为体系不可持续。

Q309：关键人员培训的“最重要三门课”？
A：AML/制裁/Travel Rule；市场操纵与客户保护；信息安全与事件响应。

Q310：关键人员模块一句话交付标准？
A：让监管相信“你的人能把制度跑起来、把系统管住、把风险压下去”。

---

第七部分｜AML/CFT + Travel Rule（可运行体系）（Q311–Q360）

Q311：CASP 必须做 AML 吗？
A：必须。MiCA 不取代 AML；且 Travel Rule 对加密资产转账随行信息提出刚性要求，并由葡萄牙 Lei n.º 70/2025 执行。

Q312：Travel Rule 适用哪些场景？
A：当转账由在欧盟设立的服务提供商参与（发送/接收/中介）时适用，覆盖资金与“特定加密资产”转移。

Q313：Travel Rule 最核心的义务是什么？
A：收集、核验、传递并留存付款人/收款人信息；并对缺失信息的转账进行拒绝、暂停或强化审查。

Q314：AML 体系的“六件套”是什么？
A：企业风险评估（BRA）、客户风险评级、KYC/CDD/EDD、制裁与PEP、交易监控、STR/报告与记录保存。

Q315：KYC 必须收集哪些信息？
A：自然人：身份、地址、职业、资金来源、用途、受益人（如适用）；法人：注册文件、董事、UBO、业务性质、资金路径。

Q316：EDD 典型触发条件？
A：PEP、制裁高风险辖区、异常资金路径、混币器/暗网关联、频繁大额提币、与高风险VASP交互等。

Q317：制裁筛查要做哪些层面？
A：客户（含UBO）+ 对手方 + 地址/钱包 + 交易流；并有复核、误报解除与持续监控。

Q318：链上分析工具是必须吗？
A：对平台/托管/转移类几乎是“实务必备”，否则难以解释链上风险与资金路径。

Q319：交易监控规则库至少包含哪些？
A：结构化：金额/频率/地域/资产类别/行为模式；链上：跳转路径、混币器、黑名单地址、可疑集群；市场操纵：刷量/对倒等。

Q320：什么是 STR？谁批准？
A：可疑交易报告由 MLRO 负责决策提交；需留存内部调查记录与提交理由（或不提交理由）。

Q321：如何保证 STR“质量”？
A：每份 STR 必须能回溯：触发→调查→证据→结论→时间线→附件（日志/聊天/链上证明）。

Q322：Travel Rule “对手方VASP识别”怎么做？
A：建立对手方库（VASP白名单/灰名单/黑名单）+ 地址归属识别 + 信息传递通道（TRP/协议）+ 失败处理流程。

Q323：遇到“自托管钱包（unhosted wallet）”怎么办？
A：按适用规则强化尽调：钱包所有权证明、交易目的、资金来源、异常模式监控；必要时限制或拒绝。

Q324：Travel Rule 信息缺失能否放行？
A：通常不应。需走拒绝/暂停/补齐信息/强化审查流程，并留存记录。

Q325：如何处理“跨链桥/混币器”风险？
A：提高风险评级；设置自动告警；要求补充来源解释；必要时冻结与 STR；并将相关地址/合约纳入监控黑名单。

Q326：KYC 资料多久复核一次？
A：按风险分级：高风险更频繁；触发事件（异常交易、信息变更）即刻复核。

Q327：如何做“客户拒绝与终止（offboarding）”？
A：明确触发条件、审批层级、客户通知模板、资产清退与冻结规则、记录留存与必要时 STR。

Q328：AML 培训要求？
A：入职必训 + 年度复训 + 关键岗位专项；培训要有测试与记录。

Q329：AML 记录保存的关键点？
A：能证明你“做过”且“做对了”：风评、筛查结果、告警处置、STR 结论、例外审批与复核记录。

Q330：AML 外包可以吗？
A：可以外包执行（如KYC服务商），但你必须监督、抽查、审计、可退出；并对结果负责。

Q331：如何证明“交易监控可运行”？
A：提供：规则库清单、告警样例、调查工单、冻结记录、STR 样例（脱敏）、以及 KPI（命中率、误报率、处置时效）。

Q332：什么是“风险为本（RBA）”在 CASP 的写法？
A：用风险矩阵：客户×产品×地域×渠道×链上风险→对应控制措施（CDD/EDD/限制/监控强度）。

Q333：客户资金来源（SoF）核验怎么做？
A：文件+路径双核验：银行流水/工资/合同/税单 + 入金路径是否一致；链上入金要做地址归属与资金路径解释。

Q334：如何处理“第三方入金/代付”？
A：通常高风险：要求证明关系与授权；强化 EDD；必要时拒绝。

Q335：如何处理“异常大额提币”？
A：设置阈值与分级审批；要求补充用途与对手方信息；链上风险扫描；必要时延迟/冻结并 STR。

Q336：Travel Rule 与制裁冲突如何处理？
A：制裁优先：命中或高度疑似应冻结/拒绝并走内部升级；不要因“完成Travel Rule字段”而放行制裁风险。

Q337：如何做“制裁地址”监控？
A：链上黑名单+实时扫描+入金/出金双向检测+误报复核；并记录扫描结果与处置。

Q338：如何处理“高风险VASP对手方”？
A：灰名单策略：限制额度/提高EDD/更严格Travel Rule；黑名单策略：拒绝交互并记录理由。

Q339：AML 与客户隐私如何平衡？
A：数据最小化+权限控制+加密存储+访问审计；但合规信息必须可供监管检查与留存。

Q340：葡萄牙 Lei n.º 70/2025 的实务意义？
A：它在国内法层面执行 TFR 相关条款并修改 AML 框架衔接，意味着 Travel Rule 将成为检查与执法的硬指标。

Q341：如何把 AML/Travel Rule 写成“可递交手册”？
A：按 15–20 章结构：风险评估→KYC→EDD→制裁→监控→STR→Travel Rule→记录→培训→审计→外包→数据→投诉联动→退出。

Q342：监管会抽样检查什么？
A：开户样本、EDD样本、告警处置样本、STR样本、Travel Rule 失败队列、黑名单命中处理、权限与日志。

Q343：Travel Rule 字段通常包括哪些？
A：付款人/收款人姓名、账户/钱包标识、地址/身份证明信息（按适用规则与技术标准/实施细则确定）。

Q344：如何处理“信息不一致（姓名与钱包归属不符）”？
A：暂停/拒绝；要求补充证明；升级 MLRO；记录并视情况 STR。

Q345：如何做“对手方信息传递协议”？
A：合同/SLA：字段、时效、加密传输、失败重试、审计权、数据留存、事件通报、分包限制与退出。

Q346：STR 提交后还要做什么？
A：持续监控该客户/地址；必要时限制服务；保存后续处置与复核记录。

Q347：如何防止“员工协助洗钱”？
A：岗位分离、权限最小化、双人复核、员工背景审查、个人交易监管、抽查与举报机制（whistleblowing）。

Q348：如何管理“高风险产品”（杠杆/衍生品）？
A：风险评估、适当性测试、限制准入、强披露、监控强化；并与 CMVM 市场行为关注点对齐。

Q349：AML 最常见的“补件点”？
A：风险评估太泛、EDD触发不清、Travel Rule 不可运行、监控规则空洞、STR流程无证据链。

Q350：如何降低误报率又不漏报？
A：规则分层（硬规则/软规则）、阈值迭代、反馈闭环、按产品与客群分组建模；并保留迭代记录（模型治理）。

Q351：是否需要“名单管理”（黑名单/灰名单）制度？
A：需要：地址、客户、设备、IP、对手方VASP；并规定更新频率、审批与解除条件。

Q352：如何处理“批量小额拆分”（smurfing）？
A：聚合监控（按客户/设备/地址/时间窗）触发；升级EDD与用途解释；必要时限制与 STR。

Q353：如何处理“同名不同人”的制裁误报？
A：建立二线复核与证据要求（出生日期、证件号、地址、国籍）；保留误报解除记录。

Q354：如何处理“稳定币出入金”风险？
A：关注发行方与链、黑名单地址、跨链桥、交易对手方；将稳定币风险纳入产品风险评级。

Q355：如何处理“法币出入金 + 加密兑换”的组合风险？
A：加强资金路径核验、第三方支付尽调、对账与退款控制、异常模式监控；这是监管高关注点。

Q356：如何设置 AML KPI？
A：告警处置时效、EDD完成率、STR提交时效与质量、复核覆盖率、Travel Rule 成功率、制裁命中处置时效。

Q357：如何证明“AML 资源充足”？
A：人员配置、轮班值勤、工具清单、预算、培训与抽样审查记录；并与业务规模匹配。

Q358：AML 与治理如何联动？
A：季度 AML 报告上董事会；重大事件即时上报；例外审批需董事会/委员会监督；内审年度复核。

Q359：如何准备“检查时可立即导出”的 AML 数据包？
A：客户主档、KYC文件索引、风险评分、筛查结果、告警工单、STR摘要、Travel Rule 失败队列、权限与操作日志。

Q360：AML/Travel Rule 模块一句话交付标准？
A：让监管看到“信息收集—监控—处置—上报—留存—复盘”闭环可运行。

---

第八部分｜IT安全、外包治理、客户保护、报告与检查、护照通报（Q361–Q400）

Q361：IT 安全最核心三件事？
A：权限分层（最小权限）+ 日志可追溯（不可篡改）+ 事件响应（演练可证）。

Q362：监管最常要求演示的 IT 点？
A：提币审批链、权限授予/回收、日志检索、异常告警、系统Kill Switch、对账差异追踪。

Q363：订单簿记录（order book records）为什么重要？
A：平台透明度与市场滥用调查核心证据；必须能保存、查询、导出并满足记录要求。

Q364：外包治理的“合同七条款”是什么？
A：审计权、数据可达/可导出、事件通报、分包限制、SLA与罚则、终止与交接、合规协作（检查配合）。

Q365：云服务算外包吗？
A：在监管视角通常属于第三方依赖/外包风险的一部分，必须纳入外包清单与年度评估，并有退出迁移方案。

Q366：密钥管理最小要求？
A：热冷分离、多签/MPC、双人复核、备份与恢复演练、权限分层、关键操作日志、定期轮换与离职回收。

Q367：BCP/DR 需要做到什么程度？
A：关键系统 RTO/RPO、备份策略、演练记录、故障切换流程、客户与监管通报模板、复盘整改。

Q368：重大安全事件要不要通知监管？
A：通常需要（视事件性质与适用法规）；建议建立事件分级与通报路径，并准备模板与时间线记录。

Q369：客户披露（disclosure）最容易出问题的点？
A：费用、风险提示、执行与报价机制、做市/自营冲突、资产隔离、投诉渠道、限制条件（冻结/延迟提币）。

Q370：客户条款（T&Cs）必须覆盖哪些？
A：服务范围、费用、风险、订单执行规则、资产保管与隔离、提币规则、异常/冻结、投诉、数据使用、终止与清退。

Q371：错误更正与赔付机制怎么写？
A：差错类型、客户通知、对账证明、赔付标准、审批层级、留痕与复盘，避免“暗箱处理”。

Q372：市场操纵监控要如何落地？
A：规则库+告警+调查流程+冻结/限制/下架+与执法协作；并保存证据（订单簿、IP/设备、关联账户分析）。

Q373：如何管理“上币信息披露”？
A：披露风险、发行方信息、技术审计摘要、限制交易安排、下架条件；并设复评周期与公告流程。

Q374：护照通报（passporting）怎么做？
A：在葡萄牙获批后，按 MiCA 护照机制向目标成员国进行跨境通报（自由提供服务或设分支），并满足当地营销/语言/消费者保护实践。

Q375：护照通报最常踩坑是什么？
A：以为“通报=无限制营销”；忽略东道国消费者保护与广告规则；缺少本地语言披露与投诉处理安排。

Q376：报告义务通常包括哪些？
A：审慎与经营数据、投诉与赔付、重大事件、安全事件、外包评估、AML/STR统计、以及监管特别要求的数据报送。

Q377：监管检查（on-site）会怎么抽样？
A：随机抽客户档案、订单与提币链路、Travel Rule 失败队列、制裁命中样本、外包合同与审计记录、权限与日志。

Q378：检查时最怕什么？
A：数据导不出来、日志不全、证据链断、制度写了但实际没跑、外包商不配合、关键岗位答不出来。

Q379：葡萄牙执行法（Lei n.º 69/2025）对授权程序的关键点？
A：明确 BdP 受理授权并与 CMVM 协同（例如 BdP 在递交后按法定时间向 CMVM 通知等机制），意味着你要“双口径对齐”。

Q380：不合规的后果有哪些？
A：可能包括行政处罚、业务限制、整改要求、暂停或撤销授权等；葡萄牙立法与媒体解读也强调罚则力度提升。

Q381：如何做“有序退出/停止业务”？
A：停止新增→公告→资产清退→对账结清→关闭账户→保留记录→向监管提交总结报告与未结事项清单。

Q382：客户资金/资产清退最关键风险？
A：对账差异、无法联系客户、冻结/执法请求冲突、链上拥堵导致延迟；需准备应对流程与证据记录。

Q383：如何准备“监管检查包（Inspection Pack）”？
A：一键目录：政策与流程、组织与RACI、关键合同、样本数据导出、日志与权限报告、STR样本、Travel Rule统计、演练记录。

Q384：合规年度预算怎么写才可信？
A：把工具与审计写实：链上分析、制裁筛查、Travel Rule 通道、SOC/SIEM、渗透测试、法律顾问、内审外包等。

Q385：如何把“外包依赖”降到监管可接受？
A：关键控制留在内部；外包仅做执行；你保有审计权与退出；建立替代供应商方案并做演练。

Q386：数据保护（GDPR）与 AML/Travel Rule 冲突吗？
A：不冲突但要做平衡：数据最小化、访问控制、加密、留存期管理；同时满足合规留存与监管检查需要。

Q387：如何处理“跨境数据访问”（总部在欧盟外）？
A：最小权限、审计日志、数据脱敏、访问审批、远程运维窗口控制；并在外包/内部控制中留痕。

Q388：广告投放最常见违规？
A：夸大收益、弱化风险、未披露费用与限制、目标客群不匹配；必须建立合规审稿与版本控制。

Q389：如何应对媒体/舆情事件？
A：危机沟通预案：事实核查、对外口径、客户公告、监管通报、资产安全说明与FAQ。

Q390：如何证明“客户资产安全”？
A：制度（隔离/对账/权限）+ 技术（多签/MPC/日志）+ 运营（双人复核/值勤）+ 审计（抽样与报告）四件套。

Q391：如何证明“市场公正”？
A：撮合规则公开、订单簿记录完整、做市披露与隔离、操纵监控与处置记录、异常行情保护机制。

Q392：监管问“为什么你不会成为下一家爆雷？”怎么答？
A：答：资本取高+客户资产隔离+可审计证据链+外包可控+事件响应演练+三道防线+合规否决权。

Q393：如何把“合规制度”变成“可运行系统”？
A：把每条制度绑定：流程图 + 工单/表单 + 系统字段 + 日志点位 + KPI；用演示证明跑得起来。

Q394：最关键的 10 份模板附件是什么？
A：服务映射表、DoA、RACI、外包清单与评估表、Token Listing 表、风险评估矩阵、STR工单、Travel Rule失败处理SOP、事件响应模板、检查包目录。

Q395：最常见的“补件轮次”来自哪里？
A：IT证据链、Travel Rule可运行性、外包合同条款、治理问责、资本与现金流合理性。

Q396：如何缩短审查周期？
A：先差距评估→预沟通→一次性提交“可审计材料”→减少补件；并准备RFI应答包与演示脚本。

Q397：获批后最重要的 90 天做什么？
A：上线监控与报告节奏、完成首次内审抽样、完成外包年度评估框架、完成Travel Rule覆盖率基线、完成BCP演练。

Q398：葡萄牙路径的“核心成功因子”是什么？
A：把 BdP 的审慎口径与 CMVM 的行为口径合并成一个证据链体系，并与葡萄牙执行法协同流程一致。

Q399：如果监管要求整改，如何组织“整改项目”？
A：整改清单→责任人→截止日→证据→复测→关闭；并每两周向管理层、每月向董事会汇报进度。

Q400：Q1–Q400 交付版的最终目标是什么？
A：让你在葡萄牙申请 CASP 时，做到“可递交、可演示、可补件、可检查、可跨境”的全生命周期合规落地。

---

仁港永胜建议（唐生结论｜可执行清单）

1. 先做服务映射：把你要做的业务逐条映射到 MiCA 服务清单，确认是否涉及平台/托管/转移（Travel Rule 强关联）。

2. 先做“证据链”再递交：治理（DoA/RACI/委员会）+ AML/Travel Rule SOP + IT权限/日志/对账/事件演练必须“现在就能跑”。

3. 资本取高与现金流写实：把合规工具、安全、审计、外包成本写实进固定开支，做压力测试与补资触发器。

4. 外包不等于免责：合同七条款（审计权/数据权/通报/分包/退出/交接/SLA）必须写死，并做退出演练。

5. 面谈按“必问脚本”训练：CEO/合规/MLRO/安全/运营要能讲清流程、能现场演示、能导出数据。

6. 护照通报要做“营销合规模块”：通报后仍要满足东道国消费者保护与广告实践，别把“护照”当万能。

---

为何选择仁港永胜（核心优势）

• 监管递交级交付物：我们按“可递交、可审计、可补件”的标准制作材料，不做空泛PPT。

• 体系化模板包：Master Checklist（A–I）、BP财务模型、AML/Travel Rule 手册、外包治理制度、IT证据链清单、面谈题库、RFI应答包、护照通报包。

• 实操导向：从组织、制度、系统到演示脚本，确保能“跑起来、导得出、讲得清”。

• 跨境结构经验：熟悉集团多层控股、UBO穿透、SoF/SoW路径与文件组织方式，降低补件轮次。

---

关于仁港永胜｜联系方式

仁港永胜（香港）有限公司
Rengangyongsheng (Hong Kong) Limited

• 地址：Rm 1801, Easely Commercial Building, 253-261 Hennessy Road, Wan Chai, Hong Kong

• 联系人：唐上永（唐生，Tang Shangyong）

• 电邮：Drew@cnjrp.com

• 电话 / WhatsApp（香港）：+852 9298 4213

• 电话 / 微信（深圳）：+86 159 2000 2080

---

免责声明

1. 本文为一般性信息与项目经验总结，不构成法律意见、税务意见或对任何监管结果的保证。

2. 具体适用要求以 MiCA、Travel Rule、葡萄牙 Lei n.º 69/2025、Lei n.º 70/2025 及 BdP/CMVM 最新公告、个案沟通为准。

3. 任何申请策略、文件口径与系统落地，应在取得正式法律与合规意见后实施，仁港永胜同时保留对内容更新与修订的权利。

---

---

葡萄牙 Portugal（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）,Portugal (MiCA) CASP Authorization - FAQ,葡萄牙 MiCA CASP 牌照,葡萄牙 MiCAR 加密牌照,葡萄牙加密资产服务商牌照,葡萄牙 CASP 牌照申请,葡萄牙 MiCA 牌照注册,葡萄牙加密交易所牌照,葡萄牙虚拟资产服务商牌照,葡萄牙 MiCAR VASP 牌照,葡萄牙加密牌照常见问题,葡萄牙 MiCA 牌照 FAQ,葡萄牙 CASP 牌照指南,葡萄牙 MiCA 框架牌照,申请葡萄牙 MiCAR 牌照,葡萄牙加密牌照转让,葡萄牙 MiCA 牌照出售,葡萄牙 MiCAR 牌照要求,葡萄牙加密资产服务提供商,葡萄牙 MiCA 监管牌照,葡萄牙 VASP 牌照申请,葡萄牙加密牌照流程,葡萄牙 MiCAR 牌照费用,葡萄牙加密牌照法律,葡萄牙 MiCA 合规牌照,葡萄牙虚拟资产牌照,葡萄牙数字货币牌照,葡萄牙加密货币牌照,葡萄牙 MiCAR 牌照申请步骤,葡萄牙 MiCA CASP 授权,葡萄牙加密服务商注册,葡萄牙 MiCAR 牌照服务,葡萄牙加密牌照中介,Portugal MiCA CASP License,Portugal MiCAR Crypto License,Portugal CASP License Application,Portugal MiCA License Registration,Portugal Cryptocurrency Exchange License,Portugal VASP License,Portugal MiCAR VASP License,Portugal Crypto Asset Service Provider License,Portugal MiCA License FAQ,Portugal CASP License Guide,Apply for Portugal MiCAR License,Portugal MiCA Framework License,Portugal Crypto License Transfer,Portugal MiCA License for Sale,Portugal MiCAR License Requirements,Portugal Virtual Asset Service Provider,Portugal MiCA Regulatory License,Portugal VASP License Application,Portugal Crypto License Process,Portugal MiCAR License Cost,Portugal Crypto License Law,Portugal MiCA Compliance License,Portugal Virtual Asset License,Portugal Digital Currency License,Portugal Cryptocurrency License,Portugal MiCAR License Application Steps,Portugal MiCA CASP Authorization,Portugal Crypto Service Provider Registration,Portugal MiCAR License Service,Portugal Crypto License Broker