《拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南》

（Latvijas Banka 版本｜MiCA EU 2023/1114｜本文由仁港永胜唐生拟定讲解）

牌照名称：拉脱维亚加密资产服务提供商牌照 Crypto-Asset Service Provider（CASP）
主管机构：Latvijas Banka（拉脱维亚央行/金融监管）
生效关键日期：MiCA 对 CASP 的授权要求自 2024 年 12 月 30 日起适用。
最新动态：Latvijas Banka 已在 MiCA 框架下发出首张 CASP 牌照（BlockBen SIA），并强调可通过 MiCA 机制向全欧盟提供服务。

✅ 点击这里可以下载 PDF 文件：拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

---

以下为仁港永胜唐生拟定的《拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南（Latvijas Banka 版本）》，并由唐生提供专业讲解。

---

0｜指南说明（Latvia 版使用方式）

本指南由仁港永胜唐生拟定讲解，适用于拟在拉脱维亚设立实体、在 MiCA 框架下向欧盟提供以下一种或多种服务的机构：托管、交易平台、加密兑法币/加密兑加密、执行客户订单、转账、投顾/组合管理等。

---

一、牌照介绍与申请优势

1.1 牌照框架（MiCA 统一授权）

MiCA（EU 2023/1114）建立 EU 统一 CASP 授权与持续监管：

• 单一牌照 + 护照机制：获授权后可通过跨境通报向其他成员国提供服务（设分支或自由提供服务）。

• 统一行为与治理要求：涵盖客户保护、利益冲突、资本/审慎保障、ICT/安全、外包治理、投诉处理、报告与审计等。

1.2 拉脱维亚申请优势（市场定位写法）

• 监管口径清晰：Latvijas Banka 在官方页面公开列明申请应包含的核心信息类别（运营方案、审慎保障、治理安排等），利于形成“可提交、可审查”的申请包。

• 可对接欧盟合规体系：MiCA + DORA + AML 体系一体化建设后，利于银行/机构合作（开户、结算、托管、支付通道等）。

1.3 牌照覆盖服务（申请前必须先“选服务范围”）

申请必须明确拟开展哪些服务（“programme of operations”），并写清服务类型、提供地点、提供方式（线上/线下/分支/外包）。

---

二、监管机构与适用法律

2.1 主管机关

• Latvijas Banka：拉脱维亚央行/金融监管机关，为 CASP 授权与持续监管主管机关，并在其官网提供 CASP 申请与持续监管要点。

2.2 主要适用法规（写到申请书里的“法律依据段落”）

• MiCA：Regulation (EU) 2023/1114（CASP 授权、治理与持续义务的核心法源）。

• MiCA Level 2/3（RTS/ITS）：Latvijas Banka 明确其申请信息结构“依据 RTS/ITS”。

• AML/CFT/CPF（拉脱维亚 AML 法）：需建立客户尽职调查、持续监控、可疑交易报告、制裁筛查等制度体系。

• DORA：Regulation (EU) 2022/2554：自 2025-01-17 起适用，对金融实体 ICT 风险管理、第三方外包与韧性测试提出统一要求（CASP 的 ICT 体系设计建议同步对齐）。

• MiCA 过渡期（Art.143）：若为既有 VASP/过往合规主体，需特别关注 Latvian 过渡期长度与“申请提交截止点”。

---

三、申请条件概览（Latvia 版“监管看什么”）

你可以把本章直接写进 BP/申请摘要，作为“合规路线图”。

3.1 公司实体与实质经营（Substance）

申请人应为法人实体，并能证明具备：

• EU 内注册与有效管理（董事会决策、关键管理与控制功能可被监管触达与核验）；

• 拉脱维亚本地办公地址/人员安排/运营管理可落地（建议至少：本地董事会会议留痕机制 + 本地合规/MLRO 能力 + 可审计 IT 运维安排）。

3.2 业务模型与“运营方案（programme of operations）”

Latvijas Banka 明确要求提交programme of operations：必须写清

• 提供哪些 CAS 服务；

• 在哪里提供（拉脱维亚/跨境）；

• 如何提供（自营系统、外包、分支、代理模式等）。

3.3 审慎保障（Prudential safeguards）

Latvijas Banka 要求提交“按 MiCA 第 67 条的审慎保障信息”（通常涉及资本/保险或等效保障、运营风险覆盖、客户资产风险缓释等）。

3.4 治理结构与集团治理（如适用）

需提交治理安排描述；若属于集团（尤其母公司受其他 EU 监管），需说明集团层面治理与控制。

3.5 关键岗位配置（合规/MLRO/风险/ICT/内审）

监管重点是“职责清晰、汇报独立、资源充足、证据留痕”。DORA 生效后，对 ICT 风险、外包与韧性测试的体系化要求更高。

---

四、申请流程与时序安排（拉脱维亚实操版）

拉脱维亚的关键是：先把“运营方案 + 审慎保障 + 治理与适任性 + ICT/AML”四件套做成可审查闭环。官方明确列出申请应包含的核心信息类别。

4.1 阶段 1：预申请（Pre-Application）—强烈建议做

1. 服务范围定稿：托管/平台/兑换/转账/投顾等（决定文件深度与系统要求）。

2. 组织架构落地：董事会、CEO/COO、合规负责人、MLRO、风险、ICT 安全、内审（可按规模配置）。

3. 关键外包定稿：KYC/制裁筛查、链上分析、托管/冷钱包、云服务、支付通道等。

4. 建立证据链：董事会授权、三道防线、会议纪要模板、日志与审计轨迹方案。

4.2 阶段 2：正式递交（Submission）

递交申请表与附件（按 RTS/ITS 结构组织），核心包括：

• Programme of operations（服务类型、地点、方式）

• Prudential safeguards（MiCA Art.67）

• Governance arrangements / group governance（如适用）

• Fit & Proper（董事/高管/关键人员）与股东/UBO 尽调包

• AML/CFT 制度与系统说明（含 STR 流程）

• ICT/安全/外包治理（建议同步对齐 DORA）

4.3 阶段 3：完整性审查（Completeness check）

监管将检查：材料是否齐全、结构是否符合要求、关键证明是否可核验。

实务上，90% 的拖延来自：股东资金来源闭环不足、关键岗位资历不匹配、ICT/外包描述不可审计、AML 规则与系统脱节。

4.4 阶段 4：实质审查（Substantive review）与补件（RFI）

重点关注六大块：

1. 股东/UBO/资金来源与声誉

2. 董事与高管适任性、时间投入、利益冲突

3. AML/KYC：风险评估、CDD/EDD、制裁筛查、链上监控、STR

4. 客户保护：信息披露、费用透明、投诉处理、资产隔离

5. ICT/钱包安全：权限分层、多签、密钥管理、BCP/DR、渗透测试

6. 外包治理：尽调、合同/SLA、审计权、退出机制（DORA 视角更严格）

4.5 阶段 5：获批与上线（Go-Live）

获批后通常需要：资本/保障到位、系统上线验收、关键岗位正式任命、运营流程跑通、培训与演练证据留档。
跨境提供服务则再走 MiCA 护照通报机制。

---

五、所需材料清单（Latvia CASP Master Checklist｜完整版 A–I）

仁港永胜唐生提示：以下结构与 LatB 官方列明的“申请应包含信息类别”一致，并扩展为可交付颗粒度（可直接用于 Master Checklist）。

A. 公司设立与法定文件

• 注册证书、章程、注册地址证明、董事/股东名册

• 实质经营证明：办公室、人员、董事会会议机制、决策与授权留痕

B. 股东/UBO/重大持股（核心包）

• 穿透股权结构图（到自然人 UBO）

• 股东/UBO 身份与住址证明

• 资金来源 SoF + 财富来源 SoW 说明与佐证（银行流水/审计报表/资产处置/分红/薪酬等）

• 关联方披露、诉讼/破产/监管处罚声明

C. 董事/高管/治理层（Fit & Proper 包）

• CV（监管格式）、学历/资格证书、推荐信/任职证明

• 无犯罪/诚信/声誉声明、利益冲突声明、时间投入声明

• 董事会职责分工、授权矩阵、治理政策（含会议频率与纪要模板）

D. 关键控制职能（合规/MLRO/风险/内审/ICT 安全）

• 岗位说明书（JD）、汇报线与独立性说明

• 年度合规计划、培训计划、内审计划、风险偏好与风险限额框架

E. 运营方案与商业计划（Programme of operations + BP）

• 服务类型清单（逐项对齐 MiCA CAS 服务）

• 市场定位、客户类型（零售/专业）、收费模式、营销合规审查机制

• 三年财务预测（P/L、BS、CF）与成本结构（系统、合规、人力、审计）

F. AML/CFT/CPF 制度与 STR 机制

• AML 总政策、风险评估方法论、CDD/EDD、PEP/制裁筛查

• 交易监控规则、链上分析策略、STR 决策树与提交流程

• 记录保存、培训、独立审查机制（对齐拉脱维亚 AML 法）

G. ICT / 钱包 / 网络安全（建议对齐 DORA）

• 系统架构图、数据流、权限分层、日志与审计轨迹

• 密钥管理、多签、冷热钱包策略、资产隔离与对账

• 渗透测试、漏洞管理、BCP/DR、演练计划（DORA 自 2025-01-17 起适用）

H. 客户保护与合同文本

• 客户协议、风险披露、费用披露、隐私/GDPR 文件

• 投诉处理机制、利益冲突政策、客户资产隔离说明

I. 申报与声明文件

• 申请表及附件索引（按 RTS/ITS 结构）

• 董事会决议、关键人员任命函、费用/收据归档（如适用）

---

六、董事／股东要求（超详细讲解：监管如何“看人”）

6.1 股东与 UBO（建议按“10%门槛”做全套尽调）

• 任何“重大持股/重要影响力”股东，都建议按金融监管思路准备：穿透、资金来源闭环、声誉与合规记录、关联方关系、是否存在受制裁/刑事风险。

• 实操交付：

  1. 股权穿透图 + 控制权说明信（含投票权、协议控制、可转换工具）

  2. SoF/SoW 证据链（钱从哪里来→怎么到公司→是否足以覆盖 36 个月经营）

  3. 背景调查包（诉讼、破产、监管处罚、媒体不利信息说明与澄清）

6.2 董事与高管（Fit & Proper 的“4 个维度”）

1. 胜任能力：相关金融/支付/交易/托管/风控/合规经验

2. 诚信与声誉：无重大刑事、金融犯罪、洗钱恐怖融资相关不良记录

3. 时间投入：是否能覆盖职责（尤其 CEO/COO/CTO/合规负责人）

4. 利益冲突：是否兼任关联企业关键岗位、是否存在对手方利益冲突

你写 CV 的关键是“监管可验证”：项目、职责、规模、团队管理、合规成果、系统治理经验都要可核验。

---

七、合规官／MLRO／关键岗位条件（详细）

7.1 必配岗位与建议配置（按规模分层）

• 基础：合规负责人（Compliance）、MLRO、风险管理负责人、ICT 安全负责人

• 中大型：增加内部审计（可外包但需独立）、数据保护官 DPO（如业务需要）

• 关键要求：

  • 独立汇报线（能直达董事会/合规委员会）

  • 资源充足（系统工具 + 人手 + 预算）

  • 证据链管理（培训、抽查、STR 决策记录、模型调参记录）

7.2 AML 制度必须对齐拉脱维亚 AML 法与实务文件

拉脱维亚 AML 法为制度编制的直接依据（风险评估、CDD/EDD、记录保存、报告义务等）。

---

八、官方收费与预算概览（Latvia 版可直接写进 BP）

8.1 监管持续费用（官方已明确）

Latvijas Banka 公布：已获授权 CASP 的年度缴费为年度加密资产服务毛收入的最高 0.6%，且每年最低不少于 3,000 欧元。

8.2 建议预算科目（你做报价/预算表可直接用）

• 法律顾问与牌照顾问费

• 审计与会计（年度审计、制度独立审查）

• AML 工具：制裁筛查、PEP、交易监控、链上分析

• ICT：渗透测试、SOC/监控、密钥管理方案、BCP/DR 演练

• 人员成本：合规/MLRO/风控/IT 安全/内审

• 保险或等效保障（与审慎保障方案相关）

• 办公室与本地化运营成本

---

九、后续维护与续牌条件（持续合规）

• 持续满足 MiCA 行为规范、客户保护、治理与审慎保障要求；

• DORA 生效后（2025-01-17），对 ICT 风险管理、事件响应、第三方外包治理、韧性测试要求显著增强，建议将 CASP ICT 体系直接按 DORA 标准建设，减少未来整改成本。

• 重大变更（股权/董事/关键岗位/服务范围/外包/核心系统）应形成“变更评估→监管沟通→实施→留档”闭环。

• 合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

---

十、办理时间预估（参考）

• 公司与实质搭建：2–6 周

• 文件编制（BP/AML/ICT/合同披露/股东与适任性包）：6–10 周（视复杂度）

• 审查与补件：取决于补件轮次、系统与外包复杂度、股东资金来源闭环质量

• 若为既有主体，须特别关注 MiCA Art.143 过渡期与 ESMA 公布的 Latvia 关键截止点（避免错过窗口）。

---

十一、常见问题（FAQ 精选版）—Latvia CASP（Q1–Q100）

说明：以下 FAQ 以“监管审查逻辑 + 申请人实操问题”为主线，适用于对外沟通、销售解答、以及内部项目推进。MiCA 主法源见 EUR-Lex。

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 业务经理 提供专业讲解。

A. 牌照与业务范围（Q1–Q15）

Q1：什么是 MiCA 下的 CASP？
A1：CASP（Crypto-Asset Service Provider）指在 MiCA 框架下需取得授权、向客户提供加密资产服务的机构，服务类型包括托管、平台、兑换、转账、投顾等。

Q2：在拉脱维亚申请 CASP 由谁监管？
A2：主管机关为 Latvijas Banka，并在官网列明申请应包含的信息类别（运营方案、审慎保障、治理安排等）。

Q3：MiCA 对 CASP 何时开始适用？
A3：MiCA 对 CASP 的授权要求自 2024 年 12 月 30 日起适用（欧盟统一节点），但过渡期安排各国不同。

Q4：CASP 可以做哪些具体业务？
A4：可涵盖托管与管理、运营交易平台、加密兑法币/加密兑加密、执行订单、接收/传递订单、投顾、组合管理、转账等，申请需逐项明确并在“programme of operations”说明。

Q5：我只做 OTC/经纪撮合算不算 CASP？
A5：若你为客户撮合交易、执行订单、或提供兑换/传递订单等服务，通常会落入 MiCA 的 CASP 服务范畴；需以你的客户旅程、收费方式、是否持有/控制客户资产、是否为客户执行等来定性（建议做业务定性备忘录）。

Q6：我只做托管（钱包/保管）是否可以只申请托管类服务？
A6：可以按服务范围申请单项或多项；托管涉及更高的客户资产保护与密钥管理要求（多签、权限分离、隔离与对账）。

Q7：交易平台与经纪/执行订单有什么区别？
A7：平台通常涉及撮合机制、订单簿/撮合规则、市场监控与透明披露；执行订单偏向为客户在外部场所执行。不同服务项对系统/市场监控/披露要求不同，应在运营方案中清晰切分。

Q8：可以同时做加密兑法币与加密兑加密吗？
A8：可以，但兑换服务通常会提高 AML/制裁筛查与资金流监控要求，并可能影响审慎保障方案（业务风险更高）。

Q9：提供投资建议/组合管理需要额外注意什么？
A9：需强化客户适当性/适配性、利益冲突、信息披露与记录留存；并证明相关人员具备投资与风险管理经验。

Q10：提供加密资产转账服务的监管关注点是什么？
A10：交易监控、地址风险、制裁筛查、旅行规则（如适用）、错误转账与赔付机制、链上/链下对账与审计轨迹。

Q11：我能否只申请“最低合规成本”的服务项？
A11：可以“从小做起”，但必须与真实业务一致；一旦发现实际业务超出授权范围，会带来重大监管风险（整改、处罚或撤销风险）。

Q12：可以先做其他国家 CASP，再护照到 Latvia 吗？
A12：理论上可通过 MiCA 护照机制跨境提供服务；但是否需要在 Latvia 设立分支/满足当地消费者保护与营销合规要求，需按通报策略与监管沟通确定。

Q13：拿到 Latvia CASP 后能否向全欧盟提供服务？
A13：可通过 MiCA 跨境通报机制向其他成员国提供服务（自由提供服务或设分支）。

Q14：什么叫“programme of operations”？
A14：是监管要求的运营说明文件：清晰写明你提供哪些服务、在哪里提供、如何提供（系统/外包/分支/人员），以及关键流程与控制。Latvijas Banka 明确要求提交该项。

Q15：监管是否接受英文材料？
A15：实务上多以英文为主更利于跨境团队准备；但最终语言与公证认证要求应以监管沟通与项目需要为准（建议关键章程/公证文件准备认证译本）。

---

B. 实体设立与实质经营（Q16–Q30）

Q16：必须在拉脱维亚注册公司吗？
A16：若你要以 Latvia 作为申请国，通常需要在当地设立实体并满足欧盟内注册与有效管理要求，且能证明实质经营。

Q17：什么是“有效管理地（effective management）”？
A17：监管关注公司真实决策与控制在哪里发生：董事会决议、关键岗位履职、核心系统与外包管理能否被监管触达与审计。

Q18：需要实体办公室吗？
A18：强烈建议具备本地办公安排与可验证的运营与管理机制（办公室/租约/人员在岗/会议纪要/IT 运维安排），否则实质经营难以自证。

Q19：董事必须是拉脱维亚人吗？
A19：通常不强制，但需证明治理与管理在欧盟内有效进行；关键岗位的可触达性与时间投入尤为重要。

Q20：可以远程运营吗？
A20：可以使用远程团队，但需解决：合规与 MLRO 的履职、IT 风险管理、外包审计权、日志与证据链、监管沟通时的“可到场/可解释”。

Q21：员工数量有硬性要求吗？
A21：MiCA 不以人数作为唯一门槛，但要求你具备与业务规模匹配的资源与控制能力；“关键岗位必须真实可履职”。

Q22：可以把合规/MLRO 外包吗？
A22：可以存在外包安排，但监管通常要求：外包不免除责任、需独立性与审计权、可替代与退出机制，且敏感职能不宜完全空心化（建议至少保留内部责任人）。

Q23：集团公司能否以母公司支持替代本地资源？
A23：可以体现集团支持，但仍需本地实体具备足够控制能力与资源；集团治理需在申请中说明。

Q24：如果已经是 VASP，能否直接转换成 CASP？
A24：可能适用 Art.143 过渡期（grandfathering）安排；具体截止时间与条件以 ESMA 公布的成员国清单与监管口径为准。

Q25：Latvia 的过渡期是多久？
A25：ESMA 清单列明各成员国过渡期安排，Latvia 信息以该清单为准（需倒排节点避免错过窗口）。

Q26：过渡期内可以继续营业吗？
A26：取决于你是否满足当地过渡安排条件（如已登记/已申请等）。建议做“过渡期合规备忘录”，并保留证据链。

Q27：申请期间可以先做市场推广吗？
A27：需非常谨慎：避免“未获授权提供受规管服务”的事实与宣传风险；建议采取品牌预热但不招揽、不受理、不执行、不托管的合规策略。

Q28：可以服务第三国客户吗？
A28：可以，但要管理跨境招揽边界、制裁风险、数据跨境与 AML 风险；对欧盟客户营销更需遵守 MiCA 与当地消费者保护规则。

Q29：可以同时做支付/EMI 相关服务吗？
A29：若涉及法币收付与账户功能，通常要评估支付牌照/EMI 合作路径；可采用“与 EMI/PI 合作 + CASP 自身授权”的组合结构（需清晰划分责任边界）。

Q30：监管会看董事会怎么运作吗？
A30：会。建议准备：董事会章程、会议频率、授权矩阵、三道防线、合规委员会/风险委员会机制与纪要模板。

---

C. 资本/审慎保障/保险（Q31–Q45）

Q31：MiCA 对资本有统一最低数额吗？
A31：MiCA 对不同服务有不同“自有资金/审慎保障”要求框架；具体测算与方案需结合服务范围与风险，并按监管要求提交“prudential safeguards”说明。

Q32：Latvia 申请需要提交什么审慎保障材料？
A32：Latvijas Banka 明确要求提交按 MiCA 相关条款的审慎保障信息（如 Art.67），作为申请核心部分。

Q33：审慎保障通常包含哪些要素？
A33：常见包含：自有资金安排、保险或等效保障、运营风险覆盖、客户资产风险缓释、财务预测与持续经营证明。

Q34：可以用保险替代部分资本要求吗？
A34：视服务类型与监管认可度而定；通常需要保险条款覆盖范围、免赔额、索赔机制、承保人资质等可核验。

Q35：需要提交财务预测吗？
A35：强烈建议提交三年预测（P/L、BS、CF）与压力测试，体现持续经营与风险覆盖。

Q36：客户资产隔离与资本有什么关系？
A36：客户资产隔离是客户保护核心；资本/保障则用于覆盖运营风险与赔付能力，两者通常会被监管联动审查。

Q37：亏损阶段会影响牌照吗？
A37：关键是是否仍满足资本与审慎保障、控制有效、风险可控；需持续监测并形成报告。

Q38：客户资金进出（法币）由谁承接？
A38：若你没有支付/EMI 资质，通常通过银行/支付机构/EMI 合作承接；需在外包与客户资金流说明中写清责任边界与对账。

Q39：监管会要求账户在本地银行吗？
A39：可能要求可审计与可监管触达；具体以开户与监管沟通为准。

Q40：可以用加密资产作为资本吗？
A40：通常监管更偏好可验证、稳定、可计量的自有资金形式；若涉及加密资产资本安排需格外谨慎并解释估值与流动性。

Q41：审慎保障文件怎么写更容易过？
A41：用“风险→控制→覆盖→证据”的结构：列出各类风险、控制措施、资金/保险覆盖方式、以及可核验证据与计算表。

Q42：需要压力测试吗？
A42：建议做：价格波动、流动性挤兑、黑天鹅事件、系统宕机与安全事件成本等压力测试。

Q43：客户资产被盗如何处理？
A43：需预设：事件响应、冻结/回滚机制、通知与披露、赔付政策、保险索赔路径、事后根因分析与整改。

Q44：托管类服务审查更严吗？
A44：通常更严，因涉及密钥管理、冷/热钱包、权限分离、对账与审计、客户资产隔离等核心风险。

Q45：年度监管费怎么算？
A45：Latvijas Banka 公布：年度缴费为年度加密资产服务毛收入最高 0.6%，且每年最低 3,000 欧元。

---

D. AML/KYC/制裁与 STR（Q46–Q65）

Q46：CASP 的 AML 依据是什么？
A46：除 MiCA 相关要求外，应对齐拉脱维亚 AML 法（涵盖 CDD/EDD、记录保存、报告义务等）。

Q47：KYC 必须做到哪些层级？
A47：至少包含：身份验证、受益所有人识别（法人客户）、风险评级、PEP/制裁筛查、持续监控与定期复核。

Q48：需要链上分析工具吗？
A48：若涉及转账、托管、平台或兑换，链上风险监控极具必要性；监管关注你能否识别高风险地址/混币/黑名单关联。

Q49：STR（可疑交易报告）流程要怎么设计？
A49：建议：规则触发→一线复核→合规/MLRO 评估→决定报送→留痕→后评估；并保留“未报送原因”记录以备检查。

Q50：如何管理制裁风险？
A50：必须有制裁名单筛查（客户、受益人、地址/链上实体、交易对手），并设冻结/拒绝/上报流程。

Q51：PEP 怎么管理？
A51：需 EDD、资金来源核验、加强持续监控与管理层审批，并设定复核周期。

Q52：旅行规则（Travel Rule）要做吗？
A52：视业务、转账方向与合作机构要求；建议预留数据字段与对接能力。

Q53：记录保存多久？
A53：按当地 AML 规则与监管口径执行；建议采用“统一留存策略 + 可检索归档”避免缺证。

Q54：AML 培训怎么做才算合格？
A54：按年度计划实施：入职培训、岗位专项培训、案例复盘；保留签到/测验/课件/结果。

Q55：可以只做“文件合规”不做系统吗？
A55：高风险。监管通常要求“制度+系统+证据链”闭环；尤其交易监控必须可运行、可解释、可审计。

Q56：OTC 场景 AML 风险更高吗？
A56：通常更高：现金/第三方付款、代收代付、来源难核验等；需更严格 EDD 与交易监控规则。

Q57：如何做客户风险评级？
A57：建议模型：客户类型/地域/产品/渠道/交易行为/链上风险，形成评分并对应 CDD 深度与监控频率。

Q58：如何处理“高风险国家客户”？
A58：加强核验、限制服务、提高监控、必要时拒绝或终止，并保留决策记录。

Q59：谁负责最终 STR 决策？
A59：通常由 MLRO/合规负责人负责最终判断与报送，需独立性与直达董事会的汇报线。

Q60：AML 手册的最小目录是什么？
A60：风险评估方法、CDD/EDD、制裁/PEP、交易监控、STR、记录保存、培训、独立审查与持续改进。

Q61：如何应对监管抽查？
A61：准备“抽查包”：样本客户档案、风险评级记录、监控报警处理记录、STR 决策记录、培训与审计报告。

Q62：必须做独立 AML 审查吗？
A62：强烈建议做（内审或外部独立审查），形成年度改进闭环。

Q63：如何管理代理/介绍人渠道？
A63：需尽调、合同约束、合规培训、监控与抽查；渠道合规是监管常见雷区。

Q64：如何处理“无法核验资金来源”的客户？
A64：拒绝或限制服务，并留存证据与决策记录，必要时报送。

Q65：如何管理“自托管钱包（unhosted wallet）”风险？
A65：建议：地址风险评分、交易限额、额外核验、链上追踪与异常报警，并在客户条款中明确责任与披露。

---

E. ICT/安全/外包与 DORA（Q66–Q85）

Q66：DORA 跟 CASP 有什么关系？
A66：DORA（EU 2022/2554）自 2025-01-17 起适用，对金融实体 ICT 风险管理、第三方外包与韧性测试提出统一框架，CASP 建议按 DORA 标准建设 ICT 与外包治理。

Q67：最关键的 ICT 文件有哪些？
A67：系统架构图、数据流、访问控制、密钥管理、多签/冷热钱包、日志与监控、事件响应、BCP/DR、渗透测试与漏洞管理。

Q68：云服务/外包需要披露吗？
A68：需要。应列明外包清单、尽调、SLA、审计权、数据所在地、退出与替代方案（DORA 强调第三方风险）。

Q69：冷热钱包怎么设计更“监管友好”？
A69：分层权限、最小权限原则、多签门限、关键人分离、签名仪式留痕、定期轮换与审计、链上链下对账。

Q70：是否必须做渗透测试？
A70：强烈建议，且需形成整改闭环；并准备对外部攻击、内部滥用、供应链攻击的应对方案。

Q71：如何证明系统可审计？
A71：日志不可篡改、权限变更留痕、关键操作双人复核、审计追踪可导出、对账可回溯。

Q72：发生安全事件要怎么报？
A72：按事件响应计划执行：识别→分级→隔离→取证→通报→恢复→复盘；并准备监管沟通模板（DORA 对事件管理更严格）。

Q73：外包 KYC/制裁筛查合法吗？
A73：可以，但需合同与审计权、数据保护、供应商尽调、替代方案；责任仍在持牌主体。

Q74：是否必须有内部 IT 安全负责人？
A74：强烈建议至少有内部责任人（CISO/ICT risk owner），外包不能替代内部治理。

Q75：数据保护/GDPR 怎么处理？
A75：需隐私政策、数据处理协议、跨境传输评估、最小化与加密、访问控制与数据主体权利流程。

Q76：能否使用开源钱包/撮合引擎？
A76：可以，但要做安全评估、代码审计、版本管理、供应链风险管理与漏洞响应机制。

Q77：如何管理“内部人员作恶”风险？
A77：权限分离、四眼原则、行为监控、关键操作录屏/留痕、定期轮岗与强制休假、审计抽查。

Q78：平台市场滥用（刷量/操纵）怎么管？
A78：监控规则、异常交易报警、名单机制、信息披露与处置流程（按业务类型加强）。

Q79：BCP/DR 需要多细？
A79：要能落地：RTO/RPO、演练频率、备用系统、通讯机制、灾备地点与恢复步骤。

Q80：第三方托管/冷库合作的监管关注点？
A80：是否可审计、密钥控制与责任边界、保险覆盖、事故响应、退出与迁移方案。

Q81：如何证明“外包可控”？
A81：供应商尽调、SLA/KPI、审计权、定期评估报告、问题整改记录、替代方案。

Q82：系统上线前要做什么“验收包”？
A82：安全基线、权限矩阵、对账机制、压力测试、渗透测试、DR 演练、日志审计演练。

Q83：是否需要 SOC/安全监控中心？
A83：视规模与风险；至少要具备 7×24 监控能力或等效外包，并留存告警处置记录。

Q84：可以把核心系统放在非欧盟吗？
A84：需评估数据与监管可触达性、跨境合规、供应商风险；建议优先欧盟区域部署以降低不确定性。

Q85：申请材料中 ICT/外包怎么写最稳？
A85：按“资产清单→风险评估→控制措施→监控指标→事件响应→证据留存”的 DORA 化结构撰写。

---

F. 客户保护/合同/营销（Q86–Q100）

Q86：客户资产必须隔离吗？
A86：MiCA 强调客户保护与资产隔离安排；尤其托管、平台、兑换场景必须清晰写出隔离、对账与风险披露。

Q87：客户协议至少要包含什么？
A87：服务描述、费用、风险披露、资产处理规则、投诉与争议解决、终止与关户、隐私与数据、责任限制与赔付框架。

Q88：费用披露需要多细？
A88：建议列明：交易费、点差、提现费、托管费、第三方费用、潜在利益冲突（返佣/做市安排等）。

Q89：客户投诉机制怎么做？
A89：设专岗/邮箱/时限、分级处置、复核机制、记录保存、定期复盘与改进。

Q90：营销材料要报批吗？
A90：建议设内部审批流程与留痕（Marketing Approval Log），确保宣传不误导、不暗示未授权服务。

Q91：能否向散户提供高风险产品？
A91：需结合你提供的服务类型与客户分类制度、适当性/适配性、披露与限制措施。

Q92：如何定义“专业客户”？
A92：建议制定专业客户认定标准与证明文件清单，并在条款中明确适用的保护水平。

Q93：客户适当性/适配性一定要做吗？
A93：若涉及投顾/组合管理/复杂产品分销，应建立更完整的适当性/适配性流程。

Q94：客户资金退回/赎回怎么处理？
A94：需写清：触发条件、时限、费用、链上确认、反洗钱复核、异常冻结与申诉路径。

Q95：能否提供杠杆/衍生品？
A95：需另行评估是否落入其他金融监管框架；MiCA 主要聚焦现货加密资产服务，衍生品往往涉及其他监管规则。

Q96：如何处理错误转账？
A96：需设：误转工单、链上追踪、联系对手方流程、风险披露、赔付与争议处理机制。

Q97：如何处理客户死亡/继承等特殊事件？
A97：设法律文件要求、身份核验、资产冻结与转移流程、合规审批留痕。

Q98：如何处理账户被盗用？
A98：设：异常登录监控、强制 MFA、冻结与重置流程、取证、通知与后续赔付框架。

Q99：客户数据如何留存与删除？
A99：按 AML 留存义务与 GDPR 权利平衡处理：在法定留存期内不得删除，期满后按流程安全销毁。

Q100：最常见的申请失败原因是什么？
A100：股东资金来源闭环不足、关键岗位资历不匹配、AML 规则与系统脱节、ICT/外包不可审计、客户保护/披露不足、补件应答能力弱。

---

十二、Latvia CASP 合规与报告制度（MiCA + AML + ICT）

12.1 AML/KYC（制度 + 系统 + 证据链）

• 风险评估（客户/产品/地域/渠道/交易行为）

• CDD/EDD（含 PEP、制裁名单、受益人核验）

• 交易监控（规则 + 模型 + 人工复核）

• STR 决策与报告流程（含升级路径与留痕）

• 记录保存与培训、独立审查
  （制度依据建议引用拉脱维亚 AML 法英译整合文本作为编制参考）

12.2 ICT/安全与外包（对齐 DORA）

• ICT 风险管理框架、事件响应、日志与取证

• 第三方外包尽调、合同/SLA、审计权、退出与替代方案

• 渗透测试与韧性演练（BCP/DR）
  DORA 自 2025-01-17 生效是关键时间点。

---

十三、税务与法律配套（Latvia 版详细齐全完善）

13.1 企业所得税（CIT）—“分配利润征税”机制（重点解释）

拉脱维亚 CIT 体系常见口径为：对利润分配与视同分配征税，通常税率口径为 20%（以分配相关规则计）。

13.1.1 适用思路（对 CASP 项目最关键）

• 未分配利润：在许多情形下，不立即触发 CIT（但需满足会计处理与税务口径）。

• 利润分配：股息分配、视同分配等触发征税。

• 对 CASP 的管理启示：

  1. 现金流与分红规划要与合规资本/保障方案联动；

  2. 若你处于投入期，利润留存可支持资本与系统建设；

  3. 关联交易与费用分摊（集团 IT/合规服务费）需有转让定价与商业实质支撑。

13.1.2 “视同分配”与常见风险点（建议税务顾问重点核验）

• 与股东有关的非商业支出、对股东/关联方利益输送

• 关联交易定价不公允

• 与业务无关的资产/费用安排
  （具体界定需按拉脱维亚税法条文与税务顾问判断）

13.2 增值税（VAT）

• 拉脱维亚标准 VAT 税率常见口径为 21%。

• 加密资产相关服务是否属于 VAT 应税、是否存在豁免、以及跨境 B2B/B2C 的 VAT 处理（尤其欧盟内跨境数字服务）均需税务顾问逐项判断。

13.2.1 CASP 常见 VAT 讨论点（建议列入税务备忘录）

• 交易手续费/平台服务费的 VAT 属性

• 托管费、订阅费、API 服务费

• 会员费、做市返佣、推广返利

• 面向欧盟不同国家客户的 VAT 申报路径（OSS/IOSS 适用性视服务而定）

13.3 预提税（WHT）与跨境支付（常见结构点）

• 向非居民支付服务费、利息、特许权使用费等，可能涉及预提税与税协适用；

• 若集团内有 BVI/Cayman/HK 等上层结构，需评估实质与税协受益所有人（beneficial owner）要求。

13.4 员工税务与社保（运营成本角度）

• 本地雇员的个人所得税与社保成本将影响三年预算；

• 若大量远程雇佣或跨境派遣，需评估常设机构（PE）风险与薪酬税合规。

13.5 法律配套（CASP 项目必做的“法律文件组”）

• 客户协议与条款（含风险披露、费用披露、责任边界）

• 隐私政策与 GDPR 文件（数据处理协议、跨境传输评估）

• 外包合同与 SLA（审计权、数据、安全、退出）—建议对齐 DORA 框架

• 公司治理文件（董事会章程、授权矩阵、三道防线、合规/风险委员会）

• AML 相关制度（对齐拉脱维亚 AML 法）

---

十四、后续监管趋势与政策走向（Latvia 版｜详细齐全完善）

• ESMA 持续更新 MiCA 过渡安排与监管声明，成员国过渡期“碎片化”导致截止点差异更需项目管理。

• AMLA（欧盟反洗钱管理局）与 DAC8（税务信息交换）对 CASP 的合规与数据留存提出更强穿透与报送要求（建议提前做数据治理与报表能力建设）。

14.1 MiCA 过渡期（Transitional / Grandfathering）“碎片化”将继续影响落地节奏：项目管理必须按成员国分别拆解

监管趋势要点

• MiCA 允许成员国对“已在本国合法开展业务的既有服务商”设置过渡期（Article 143 Transitional Measures）。ESMA 已整理各国过渡期选择清单：拉脱维亚为 6 个月（对既有服务商的过渡安排）。

• ESMA 在 2025-12-04 发布关于过渡期“结束节点与合规宣传”的声明，明确提醒市场参与者：不得利用“过渡期”或“申请中”误导客户，并强调过渡期结束后若未获授权的合规风险。

对 Latvia CASP 的实操影响

• 时间线更硬：若你是“从原有拉脱维亚国内框架迁移到 MiCA CASP”，6 个月窗口非常短，文件、系统、人员、外包、审计与报告能力必须提前到位。

• 跨境护照与营销合规更敏感：过渡期内的“对外营销表述”“客户合同条款”“风险披露”会被监管/同业重点盯防，尤其是“我们已受监管/已获批/等同持牌”的措辞。

建议动作清单（可直接写进实施计划）

1. 做一张国家级时间轴：拉脱维亚（本国）+目标护照国（每国过渡安排不同）分别列：监管截止点、申请递交点、RFI 补件缓冲期、上线点。

2. 设计双轨合规：过渡期内仍满足旧框架要求，同时并行满足 MiCA 的治理、资产保护、投诉机制、ICT/安全、披露义务。

3. 统一对外话术与材料合规审查：官网/APP/条款/宣介/PR 必须通过“合规声明审查表”，避免 ESMA 点名的“误导性营销”。

---

14.2 ESMA Level 2/3（RTS/ITS/Guidelines）持续更新：会把“模板化报送、数据格式、披露口径”做得更统一、更硬

监管趋势要点

• ESMA 正在持续发布为 MiCA 数据与格式标准“平滑落地”的公开声明与配套材料（例如与标准化报文/格式有关的安排），并明确部分 ITS/模板在 2025-12-23 起适用（与白皮书等标准化格式相关）。

对 Latvia CASP 的实操影响

• “制度写得漂亮”不够，监管会越来越看重：

  • 数据字典（客户、交易、钱包、指令、风控、制裁筛查、投诉等字段定义）

  • 报送可生成（能否按模板导出、留痕、审计追溯）

  • 一致性（客户协议披露、费用、风控阈值与系统执行一致）

建议动作清单

• 把“报表与留痕能力”纳入申请包：

  • 报表清单（季度/年度/事件触发）

  • 日志策略（系统日志、审批日志、签名日志、风控命中日志）

  • 数据保留年限与可检索机制（按 AML/税务/监管报告分别覆盖）

---

14.3 AMLA（欧盟反洗钱管理局）2025-07-01 起启动职责：CASP AML 合规进入“更高标准 + 更强穿透 + 更强一致性”阶段

监管趋势要点

• AMLA 官方在 2025-07-15 明确表示：在其职责于 2025-07-01 启动后，加密行业必须具备高标准 AML/CFT 防护。

对 Latvia CASP 的实操影响

• 监管预期会从“是否有制度”转向“是否有效运行”：

  • KYC/CDD 质量（受益人穿透、控制权链条、SoW/SoF 证据）

  • 制裁与 PEP 识别（含链上风险、地址风险、间接关联）

  • STR 决策链条（谁判定、依据、时限、留痕、复盘）

  • 外包与第三方（KYC供应商、链上分析供应商、云服务商）责任边界更清晰

建议动作清单（申请材料可直接落地）

1. MLRO/合规官“双报告线”：董事会/高级管理层定期接收 AML 报告（KPI：命中率、误报率、STR 时效、培训覆盖率）。

2. 风险模型可解释：客户风险评分、交易规则、链上风险策略必须能解释并可审计。

3. 外包治理：把所有关键外包纳入“外包登记册 + SLA + 审计权条款 + 退出预案”。

---

14.4 DAC8（税务信息交换）落地：从 2026-01-01 起开始“数据采集—后续申报”，CASP 要做税务穿透数据治理

监管趋势要点

• 欧盟委员会税务与关税同盟（TAXUD）页面汇总 DAC8 工作，并与 OECD CARF 等框架衔接。

• 多方解读一致指出：成员国需在 2025-12-31 前完成转化（transposition），并自 2026-01-01 起开始收集数据用于后续申报。

对 Latvia CASP 的实操影响

• 你需要把客户数据与交易数据按 DAC8/CARF 口径“可汇总、可分发、可对账”：

  • 客户税收居民身份与自我证明（self-certification）

  • 账户/钱包/地址映射（含多地址、多账户、托管与非托管边界）

  • 交易类型与价值计量（买卖、兑换、转移、手续费、奖励等分类）

  • 数据留存与可追溯（税务稽核/监管抽查）

建议动作清单

1. 建立 DAC8 数据字典 + 字段来源图（Field Lineage）：每个字段从哪里来、谁维护、何时更新、如何校验。

2. 在开户流程增加 税务信息采集与变更触发：税收居民变化、地址变化、控制人变化要触发复核。

3. 提前做 报表模拟：用历史数据跑一遍 DAC8 报表草案，发现缺字段/不一致立刻补系统。

---

14.5 监管集中化与一致性审查趋势：ESMA 监督收敛、对“监管套利”更敏感

监管趋势要点

• 市场与媒体持续讨论欧盟层面加强对加密与交易基础设施的集中化监督（提升一致性、减少碎片化）。这会带来：更统一的口径、更强的跨境协作、更少“低门槛套利空间”。

对 Latvia CASP 的实操影响

• 申请策略要“可持续”：不要把合规做成“只为拿牌的一次性文件工程”。后续会更看重持续运营治理、真实团队能力与系统控制力。

• 对“高风险业务”（匿名增强币、混币器高风险暴露、跨境高风险通道）审查会更严。

---

14.6 我司落地建议

在拉脱维亚做 MiCA CASP，后续监管趋势的核心不是“更多文件”，而是三件事：
（1）过渡期时间轴管理（Latvia 6 个月）
（2）AMLA + DAC8 驱动的数据治理与穿透报送能力
（3）ESMA Level 2/3 口径持续收敛带来的“模板化、可审计、可验证”的系统与制度一体化

---

十五、项目实操建议（三阶段实施法：Preparation / Application / Post-Licence）

15.1 Preparation（4–8 周）

• 业务范围定稿 → 系统蓝图 → 关键岗位到位 → 外包清单与合同框架

• 股东/UBO SoF/SoW 证据链闭环

• AML/ICT/客户保护制度初稿

15.2 Application（6–12 周）

• 完整申请包（按 RTS/ITS 索引）

• RFI 补件应答机制（设“补件战情室”：合规+法务+技术+运营）

15.3 Post-Licence（持续）

• 年度合规计划、培训、内审、韧性演练

• 重大变更报备与监管沟通机制

• 欧盟护照通报与跨境营销合规边界管理

---

十六、我司服务建议与配套说明（Latvia 版）

• 路线设计：服务范围选择 + 实质经营方案 + 预算测算

• 文件编制：Business Plan、Programme of operations、AML/KYC 手册、Risk Register、ICT/钱包安全说明、客户协议/披露

• 适任性与股东包：董事/高管 CV 改写、面谈题库、UBO/SoF/SoW 证据链整理

• 监管沟通：协助进入 pre-licensing 咨询、补件答复、上线前条件落实清单

• 获牌后维护：年度合规计划、培训、内审、重大变更报备与持续监管应答

配套文件清单（Latvia 版交付包）

• 《Latvia MiCA-CASP Business Plan 模板（可直接提交）》

• 《AML/CFT 手册目录 + Risk Register + STR 决策树》

• 《ICT/钱包安全说明书（冷热钱包/多签/权限分层/日志/BCP/DR）》

• 《外包治理制度 + 供应商尽调清单 + SLA 条款库（对齐 DORA）》

• 《Fit & Proper 自检清单 + 面谈题库》

• 《跨境护照通报文件包（EU 版）》

---

十七、我司唐生结论：拉脱维亚在 MiCA 版图中的定位

拉脱维亚适合希望以“合规 + 可护照扩张 + ICT/AML 体系标准化”为核心路线的项目。其关键成功因素不在“写材料”，而在于：

• 股东资金来源闭环与声誉风险可控；

• 关键岗位真实可履职；

• ICT/外包/韧性按 DORA 水平一次性建好；

• AML/KYC 与交易监控真正落地并可审计。

---

十八、Latvia CASP Master Checklist（完整版总表）交付版细化（A–I）

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 业务经理 提供专业讲解。

---

A. 公司设立与法定注册文件（约 25 项）

A1 公司注册证书/商业登记摘录
A2 公司章程/组织大纲（含业务范围）
A3 注册地址证明（租约/业主同意书）
A4 办公室照片与平面图（建议）
A5 董事名册/公司秘书资料
A6 股东名册/股份类别说明
A7 实缴资本证明（银行入资/验资）
A8 董事会章程（Board Charter）
A9 授权矩阵（DoA）
A10 三道防线框架文件
A11 合规委员会/风险委员会设立决议
A12 公司印章/签字权限清单
A13 公司组织架构图（Org Chart）
A14 岗位编制表（Headcount Plan）
A15 员工手册（基础版）
A16 数据保护治理架构（DPO/责任人）
A17 业务连续性组织架构（BCM roles）
A18 会议纪要模板（董事会/合规/风险/IT）
A19 内部政策目录索引（Policy Library Index）
A20 关键决策留痕机制说明（effective management）
A21 远程办公与访问控制政策
A22 关联公司清单与集团架构说明（如适用）
A23 分支/代理计划（如适用）
A24 公司税号/VAT 号申请进度表
A25 监管沟通联系人与授权文件（PoA 如适用）

---

B. 股东/UBO/重大持股文件包（约 35 项）

B1 股权结构图（穿透至自然人）
B2 控制权说明信（含投票权/协议控制）
B3 股东身份证明（护照/ID）
B4 股东住址证明（近 3 个月）
B5 UBO 身份与住址证明
B6 资金来源 SoF 声明（模板）
B7 财富来源 SoW 声明（模板）
B8 SoF 佐证：银行流水/存款证明
B9 SoW 佐证：审计报表/资产处置/股权出售
B10 税务申报/收入证明（如适用）
B11 无犯罪记录/诚信声明（如适用）
B12 诉讼与破产声明
B13 监管处罚/行政处罚声明
B14 媒体不利信息检索与解释备忘录
B15 关联方关系披露（关联公司/亲属/同控股）
B16 PEP 自查声明
B17 制裁筛查结果截图/报告
B18 股东简历（金融/商业背景）
B19 股东参与治理/影响力说明
B20 股东资金注入路径图（Money Trail Map）
B21 股东出资协议/认缴安排
B22 股权转让限制条款（章程/股东协议）
B23 未来融资/可转债/期权安排说明
B24 股东会决议模板
B25 重大持股变更预警机制
B26 分红政策草案（与资本/保障联动）
B27 关联交易政策（TP 原则）
B28 关联交易清单（如已有）
B29 受益所有人登记/申报安排说明
B30 股东 KYC 问卷（DDQ）
B31 投资者来源说明（募资渠道）
B32 投资者适格性筛选政策（如有）
B33 股东承诺书（遵守 AML/合规）
B34 股东/UBO 文件公证认证清单
B35 文件有效期与更新计划

---

C. 董事/高管/治理层（Fit & Proper）（约 35 项）

C1 董事/高管名单与职责分工
C2 每位董事 CV（监管版）
C3 学历/资格证书
C4 任职证明/推荐信
C5 无犯罪/诚信/声誉声明
C6 诉讼/破产/处罚声明
C7 利益冲突声明
C8 时间投入声明
C9 兼职/外部董事席位清单
C10 董事会技能矩阵（Skill Matrix）
C11 治理培训计划（年）
C12 董事会会议计划（年）
C13 董事会 KPI（合规/风险/IT）
C14 高管绩效与合规挂钩机制
C15 关键岗位替补/继任计划
C16 管理层问责制度
C17 内部举报与保护机制
C18 风险偏好声明（Risk Appetite）
C19 重大事项审批流程
C20 新产品审批流程（NPC）
C21 费用与定价委员会机制（如适用）
C22 投诉与争议升级机制
C23 外包审批与监督机制
C24 重大事件（安全/合规）通报机制
C25 董事会纪要模板与归档规则
C26 签字权限与双人复核规则
C27 关联交易审批流程
C28 客户资产处理的治理安排
C29 市场滥用监控治理（平台类）
C30 AML 重大事项上会机制
C31 IT 风险重大事项上会机制
C32 年度合规报告模板
C33 年度风险报告模板
C34 年度 IT 韧性报告模板（对齐 DORA）
C35 Fit & Proper 面谈题库与答题稿

---

D. 关键控制职能（合规/MLRO/风险/内审/ICT 安全）（约 30 项）

D1 合规负责人任命函与 JD
D2 MLRO 任命函与 JD
D3 风险负责人任命函与 JD
D4 ICT 安全负责人/ICT risk owner 任命与 JD
D5 内部审计（内部/外包）安排说明
D6 合规年度计划（含抽查/监测）
D7 AML 年度计划与培训计划
D8 风险管理框架（ERM）
D9 风险登记册（Risk Register）
D10 关键风险指标（KRI）
D11 合规监控计划（CMP）
D12 内审计划（IAP）
D13 问题整改跟踪机制
D14 合规例会纪要模板
D15 MLRO STR 决策记录模板
D16 交易监控处置工单模板
D17 制裁命中处置流程
D18 PEP/EDD 审批流程
D19 客户关户/拒绝流程
D20 记录保存政策（对齐 AML 法）
D21 员工合规守则与纪律处分机制
D22 礼品招待/反贿赂政策
D23 投诉处理政策
D24 利益冲突政策
D25 信息披露与广告合规政策
D26 外包治理政策（对齐 DORA）
D27 数据保护政策（GDPR）
D28 重大事件报告政策（合规/安全）
D29 三道防线职责说明书
D30 年度管理层声明（合规/AML/ICT）

---

E. 运营方案与商业计划（Programme of Operations + BP）（约 30 项）

E1 服务范围勾选与描述（逐项对齐 MiCA）
E2 运营方案（programme of operations）正文
E3 客户旅程流程图（开户→交易→提现→投诉→关户）
E4 产品清单与费用表
E5 客户分类规则（零售/专业）
E6 市场定位与目标国家清单
E7 营销策略与合规审查机制
E8 收入模型与定价说明（含点差/返佣）
E9 成本模型（系统/合规/人力/审计）
E10 三年财务预测（P/L、BS、CF）
E11 压力测试与情景分析
E12 审慎保障方案（与资本/保险联动）
E13 客户资产隔离与对账方案
E14 钱包与资金流路径图（链上/链下）
E15 交易/撮合规则（平台类）
E16 做市与流动性安排说明
E17 市场监控与异常交易处置
E18 订单执行与最佳执行政策（如适用）
E19 交易失败/回滚/补偿机制
E20 客户支持与客服 SLA
E21 投诉处理流程与时限
E22 争议解决与司法管辖条款建议
E23 业务连续性嵌入运营流程说明
E24 外包清单（KYC、链上、云、托管）
E25 外包责任边界与监督机制
E26 关键供应商依赖评估
E27 报告与数据口径（管理报表/监管报表）
E28 数据治理与主数据管理
E29 KPI 与风险限额体系
E30 退出与关停计划（wind-down plan）

---

F. AML/CFT/CPF 制度包（约 30 项）

F1 AML 总政策（对齐 Latvia AML 法）
F2 MLRO 职责与汇报线说明
F3 风险评估方法论（客户/产品/地域/渠道/链上）
F4 客户尽调（CDD）程序
F5 增强尽调（EDD）程序
F6 受益所有人识别流程（法人客户）
F7 制裁筛查流程（名单/频率/命中处置）
F8 PEP 管理流程
F9 交易监控规则库（场景/阈值/报警）
F10 链上分析策略与工具说明
F11 STR 决策树与提交流程
F12 “未报送原因”记录模板
F13 现金/第三方付款限制政策（如适用）
F14 关联交易与可疑模式识别
F15 高风险国家策略
F16 客户拒绝/关户政策
F17 记录保存与调阅流程
F18 员工培训计划与材料清单
F19 独立审查/内审机制
F20 外包 AML 职能的监督机制
F21 合规抽查计划（样本策略）
F22 监控模型调参与版本管理
F23 KYC 文件真伪核验策略
F24 账户接管/欺诈识别流程
F25 反诈骗与社工防护培训
F26 可疑地址黑名单策略
F27 交易限额与分级控制
F28 AML 报告模板（季度/年度）
F29 管理层/董事会 AML 汇报机制
F30 AML 重大事件应急预案

---

G. ICT / 网络安全 / 钱包安全（对齐 DORA）（约 30 项）

G1 ICT 风险管理框架（DORA 化）
G2 系统架构图（应用/数据/网络）
G3 数据流与敏感数据分类
G4 访问控制政策（RBAC）
G5 MFA/密钥轮换策略
G6 密钥管理政策（HSM/分片/保管）
G7 多签方案与签名仪式
G8 冷/热钱包管理流程
G9 钱包对账与资产证明机制
G10 日志策略（不可篡改/留存期/检索）
G11 SIEM/监控与告警流程
G12 事件响应计划（IRP）
G13 取证与证据保全流程
G14 漏洞管理与补丁流程
G15 渗透测试计划与报告
G16 压力测试与容量规划
G17 BCP/DR（RTO/RPO）
G18 DR 演练计划与记录
G19 供应链安全评估（开源/第三方）
G20 代码审计/发布管理流程
G21 变更管理（Change Management）
G22 配置管理（CMDB）
G23 数据备份与加密策略
G24 终端与员工设备安全政策
G25 远程办公安全控制
G26 第三方访问管理
G27 外包/云服务审计权与 SLA
G28 退出与迁移方案（exit plan）
G29 IT 年度报告模板（韧性/事件）
G30 DORA 合规差距分析与路线图

---

H. 客户文件/条款/披露/投诉（约 20 项）

H1 客户协议模板（T&C）
H2 风险披露声明
H3 费用披露清单
H4 隐私政策（GDPR）
H5 数据处理协议（DPA）
H6 客户资产隔离说明
H7 客户资金流说明（法币/加密）
H8 投诉处理政策与流程
H9 投诉表单与工单模板
H10 客服 SLA 与升级机制
H11 争议解决条款与管辖建议
H12 账户冻结/限制政策
H13 错误转账处理流程
H14 账户被盗/欺诈处理流程
H15 专业客户认定政策
H16 适当性/适配性问卷（如适用）
H17 广告与营销合规政策
H18 营销材料审批日志（Marketing Log）
H19 关户/退出流程与通知模板
H20 客户数据访问/更正/删除流程（GDPR）

---

I. 申报、声明、费用与项目管理（约 20 项）

I1 申请表（按 RTS/ITS 索引整理）
I2 申请附件目录与编号规则
I3 董事会授权决议（提交申请）
I4 关键人员任命决议
I5 监管沟通授权书（PoA）
I6 文件公证认证清单与进度表
I7 RFI 补件应答模板（Cover Letter）
I8 监管问答记录表（Q&A Log）
I9 里程碑甘特图（项目计划）
I10 责任矩阵（RACI）
I11 风险与问题清单（Issue Log）
I12 版本管理与文档控制表
I13 费用预算表（政府/顾问/IT/审计）
I14 年度监管费测算表（0.6%/min 3000）
I15 年度审计与报告时间表
I16 上线前验收清单（Go-Live Checklist）
I17 重大变更报备流程
I18 退出/关停计划（Wind-down）
I19 持续合规日历（培训/审计/演练）
I20 数据报送口径与报表字段字典（Data Dictionary）

---

十九、项目执行计划与甘特图（Latvia 版里程碑）

• Week 1–4：公司/结构/岗位与外包方案定稿

• Week 5–10：BP+AML+ICT+合同披露+股东/适任性包定稿

• Week 11：递交申请（按 RTS/ITS 索引）

• Week 12–20：完整性审查 + RFI 补件 + 面谈（如有）

• Week 21–28：条件落实（注资/保险/系统验收/培训与演练）→ 上线

过渡期主体需倒排 ESMA 公布的 Latvia 截止点。

---

二十、监管审查重点矩阵

---

二十一、仁港永胜建议（唐生结论）

1. 先定服务范围，再定系统与制度深度：programme of operations 是申请核心，Latvijas Banka 明确要求提交。

2. 股东/UBO 资料必须“闭环可核验”：SoF/SoW + 资金路径图 + 不利信息解释备忘录，是最常见的补件点。

3. ICT 直接按 DORA 标准做：DORA 自 2025-01-17 生效，越早按该框架建设，越少后期整改成本。

4. 把 AML 做成“制度+系统+证据链”：用拉脱维亚 AML 法作为制度编制依据，并形成 STR 决策留痕。

5. 项目管理要“RFI 战情室”：补件速度与质量决定整体周期与成功率。

---

选择仁港永胜的好处优势

• 一体化交付：MiCA/CASP 申请文件 + AML 手册 + ICT/DORA 外包治理 + 客户条款披露 一次性成体系，避免多团队碎片化。

• 强实操模板库：BP 模板、Risk Register、STR 决策树、外包尽调清单、面谈题库、RFI 应答包、护照通报包等可直接落地。

• 监管沟通与补件能力：以“可审计、可证据化、可解释”的结构组织材料，提高通过率与审查效率。

---

二十二、申请建议

• 文件语言以英文为主，确保关键声明、制度、合同、系统说明可被审计与复核；

• 提前准备公证/认证链条（董事、股东、UBO 文件）；

• 建立“补件战情室”：合规/法务/技术/运营四方联动，提高 RFI 应答效率；

• 形成持续合规证据链：培训、抽查、演练、日志、STR 决策记录等（获批前就设计好归档机制）。

---

二十三、为何选择仁港永胜

• 我们熟悉 MiCA/CASP + AML/CFT + ICT/DORA 的一体化落地路径，可避免“只会写材料、不会落地”的风险；

• 提供从 结构设计 → 文件编制 → 适任性/股东包 → 监管沟通 → 获牌后持续维护 的全流程交付；

• 可按你们业务模型提供：流程图、模板包、制度包、面谈题库、RFI 应答包、护照通报文件包等“可复制工具”。

---

二十四、关于仁港永胜

仁港永胜为专业的合规与金融咨询服务机构，专注于全球金融牌照申请、虚拟资产合规（MiCA/CASP、VASP）、支付与电子货币（EMI/PI）、以及持续合规维护等领域。我们在香港、深圳及多个司法辖区协同配置合规团队，可为客户提供从战略评估 → 申请文件编制 → 面谈辅导 → 监管沟通 → 持牌后持续合规的一站式服务支持。

仁港永胜（香港）有限公司 | Rengangyongsheng (Hong Kong) Limited
官网：jrp-hk.com
香港：852-92984213（WhatsApp）
深圳：15920002080（微信同号）

办公地址：

• 香港湾仔轩尼诗道253-261号依时商业大厦18楼

• 深圳福田卓越世纪中心1号楼11楼

• 香港环球贸易广场86楼

注：本文涉及的模板/清单/电子档（如 Master Checklist、制度模板包、面谈题库等）可向仁港永胜唐生有偿索取。

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。本文所载内容仅供一般信息与项目沟通之用，不构成法律、税务、审计或投资建议。具体监管要求、申请材料口径、费用及审查尺度以欧盟 MiCA 正式文本、ESMA/EBA 技术标准及拉脱维亚主管机关（Latvijas Banka）最新公布为准。仁港永胜保留对本文内容进行更新与修订的权利。如需针对贵司业务模式提供可落地的合规方案、文件编制与申请支持，请联系仁港永胜获取专业协助。

---

---

拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照申请注册指南,拉脱维亚加密牌照,拉脱维亚CASP牌照,拉脱维亚MiCA牌照,拉脱维亚MiCAR牌照,拉脱维亚加密资产服务提供商牌照,拉脱维亚虚拟资产服务提供商牌照,拉脱维亚加密交易所牌照,拉脱维亚MiCA框架牌照,拉脱维亚MiCAR框架牌照,拉脱维亚加密牌照申请,拉脱维亚加密牌照注册,拉脱维亚加密牌照指南,拉脱维亚加密牌照流程,拉脱维亚加密牌照条件,拉脱维亚加密牌照要求,拉脱维亚加密牌照费用,拉脱维亚加密牌照服务,拉脱维亚加密牌照转让,拉脱维亚加密牌照出售,拉脱维亚加密牌照办理,拉脱维亚加密牌照中介,拉脱维亚加密牌照咨询,申请拉脱维亚CASP牌照,注册拉脱维亚CASP牌照,办理拉脱维亚CASP牌照,拉脱维亚CASP牌照申请指南,拉脱维亚CASP牌照注册流程,拉脱维亚CASP牌照申请条件,拉脱维亚CASP牌照申请费用,拉脱维亚CASP牌照申请服务,拉脱维亚MiCAR牌照申请指南,拉脱维亚MiCAR牌照注册流程,拉脱维亚MiCAR牌照申请条件,拉脱维亚MiCAR牌照申请费用,拉脱维亚MiCAR牌照申请服务,拉脱维亚加密资产服务商（CASP）牌照,拉脱维亚（MiCA）加密资产服务商（CASP）牌照,拉脱维亚（MiCA）加密资产服务商（CASP）牌照申请注册,拉脱维亚（MiCA）加密资产服务商（CASP）牌照出售转让,拉脱维亚 MiCAR加密资产服务提供商（CASP）牌照,申请注册拉脱维亚 MiCAR加密资产服务提供商（CASP）牌照,拉脱维亚（MiCA）框架下之加密资产服务商（CASP）牌照申请注册指南,申请注册拉脱维亚加密资产服务提供商（MiCAR）牌照详细介绍,拉脱维亚加密资产服务提供商（MiCAR）牌照申请服务指南,申请注册拉脱维亚加密交易所MiCAR牌照,拉脱维亚（MiCAR）虚拟资产服务提供商牌照,拉脱维亚虚拟资产服务提供商牌照,拉脱维亚MiCAR虚拟资产服务提供商牌照申请完整指南,拉脱维亚MiCAR虚拟资产服务提供商牌照申请,拉脱维亚MiCAR牌照,申请拉脱维亚MiCAR常见问题解答,Latvian CASP license,Latvian MiCA license,Latvian MiCAR license,Latvian crypto asset service provider license,Latvian VASP license,Latvian cryptocurrency exchange license,Latvian MiCA framework license,Latvian MiCAR framework license,apply for Latvian crypto license,register Latvian crypto license,Latvian crypto license application guide,Latvian crypto license registration process,Latvian crypto license requirements,Latvian crypto license conditions,Latvian crypto license cost,Latvian crypto license service,buy Latvian crypto license,transfer Latvian crypto license,obtain Latvian crypto license,Latvian crypto license consultant,Latvian crypto license intermediary,apply for Latvian CASP license,register for Latvian CASP license,Latvian CASP license application guide,Latvian CASP license registration process,Latvian CASP license requirements,Latvian CASP license cost,Latvian CASP license service,Latvian MiCAR license application guide,Latvian MiCAR license registration process,Latvian MiCAR license requirements,Latvian MiCAR license cost,Latvian MiCAR license service,Latvian Crypto-Asset Service Provider (CASP) license,Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,apply for Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,register Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,buy Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,transfer Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,Latvian MiCAR Crypto-Asset Service Provider (CASP) license,apply for Latvian MiCAR Crypto-Asset Service Provider (CASP) license,register Latvian MiCAR Crypto-Asset Service Provider (CASP) license,complete guide to applying for Latvian (MiCA) Crypto-Asset Service Provider (CASP) license,detailed guide to applying for Latvian Crypto-Asset Service Provider (MiCAR) license,Latvian Crypto-Asset Service Provider (MiCAR) license application service guide,apply for Latvian cryptocurrency exchange MiCAR license,Latvian (MiCAR) Virtual Asset Service Provider (VASP) license,Latvian Virtual Asset Service Provider (VASP) license,complete guide to applying for Latvian MiCAR Virtual Asset Service Provider (VASP) license,apply for Latvian MiCAR Virtual Asset Service Provider (VASP) license,FAQ about applying for Latvian MiCAR license