Cơ quan Tiền tệ Singapore "Hướng dẫn cấp phép DTSP" (toàn văn)

Nguồn: Singapore MAS; Biên dịch: AIMan@金色财经

Vào ngày 30 tháng 5 năm 2025, Cơ quan Tiền tệ Singapore đã ban hành "Hướng dẫn cấp phép cho Nhà cung cấp dịch vụ mã thông báo kỹ thuật số", chính thức cấp phép và giám sát DTSP.

Sau đây là toàn văn "Hướng dẫn cấp phép cho Nhà cung cấp dịch vụ mã thông báo kỹ thuật số" của Cơ quan Tiền tệ Singapore:

1. Mục đích

2. Giấy phép theo Đạo luật dịch vụ tài chính và thị trường

3. Tiêu chí gia nhập

4. Yêu cầu về đơn xin cấp phép

5. Các yêu cầu liên tục đối với người được cấp phép

Phụ lục 1 Các yêu cầu về quản trị và quyền sở hữu

Phụ lục 2 Các thỏa thuận tuân thủ tối thiểu

Phụ lục 3 Các hướng dẫn về thông tin cần thiết cho đơn xin cấp phép

Phụ lục 4 Phí cấp phép hàng năm

Phụ lục 5 Các quy tắc tham gia vào quy trình xem xét đơn xin cấp phép

Phụ lục 6 Đánh giá độc lập của các kiểm toán viên bên ngoài

1. Mục đích

1.1

Các hướng dẫn về cấp phép cho nhà cung cấp dịch vụ mã thông báo kỹ thuật số (gọi tắt là “Hướng dẫn”) nhằm mục đích cung cấp hướng dẫn về quy trình nộp đơn, tiêu chí cấp phép và các yêu cầu liên tục đối với các nhà cung cấp dịch vụ mã thông báo kỹ thuật số (được định nghĩa là các cá nhân, quan hệ đối tác hoặc công ty Singapore có địa điểm kinh doanh tại Singapore hoặc được thành lập tại Singapore nhưng thực hiện hoạt động cung cấp dịch vụ mã thông báo kỹ thuật số ở nước ngoài, được gọi là “DTSP”) theo Phần 9 của Đạo luật dịch vụ tài chính và thị trường năm 2022 (gọi tắt là “Đạo luật FSM”).   

1.2  Cần đọc Hướng dẫn này cùng với Đạo luật FSM, Quy định về Dịch vụ và Thị trường Tài chính (Nhà cung cấp Dịch vụ Mã thông báo Kỹ thuật số) (“Quy định FSM”) và các luật, thông báo, hướng dẫn và Câu hỏi thường gặp (FAQ) có liên quan khác do Cơ quan Tiền tệ Singapore (“MAS”) ban hành.   

1.3  MAS sẽ định kỳ cập nhật Hướng dẫn này để cung cấp thêm hướng dẫn.   

2. Giấy phép theo Đạo luật Dịch vụ và Thị trường Tài chính

2.1  Theo Điều 137 của Đạo luật FSM, bất kỳ cá nhân nào thực hiện dịch vụ mã thông báo kỹ thuật số theo định nghĩa trong Phụ lục đầu tiên của Đạo luật FSM tại Singapore đều phải có giấy phép trừ khi được miễn trừ. Điều 137(5) của Đạo luật FSM nêu rõ các miễn trừ áp dụng.   

2.2  Vì MAS sẽ không cung cấp các sắp xếp chuyển tiếp cho DTSP, nên các DTSP được yêu cầu phải có giấy phép theo phần 137 của Đạo luật FSM phải đình chỉ hoặc ngừng tham gia vào hoạt động cung cấp dịch vụ mã thông báo kỹ thuật số ở nước ngoài trước ngày 30 tháng 6 năm 2025. Các DTSP vi phạm các yêu cầu cấp phép sẽ bị coi là phạm tội và phải chịu các hình phạt được quy định tại phần 137(6) của Đạo luật FSM.   

Các loại dịch vụ mã thông báo kỹ thuật số  

2.3 Người nộp đơn nên đánh giá xem mô hình kinh doanh của họ có liên quan đến việc cung cấp dịch vụ mã thông báo kỹ thuật số hay không dựa trên mười loại dịch vụ mã thông báo kỹ thuật số trong Phụ lục đầu tiên của Đạo luật FSM. Người nộp đơn cũng nên cân nhắc xem các hoạt động được đề xuất của họ có nằm trong các ngoại lệ đối với quy định về dịch vụ mã thông báo kỹ thuật số được nêu trong Phần 2 của Phụ lục đầu tiên của Đạo luật FSM hay không.   

Ghi chú của người dịch: Mười loại dịch vụ mã thông báo kỹ thuật số được đánh dấu trong Phụ lục của Đạo luật FSM

1. Bất kỳ dịch vụ giao dịch mã thông báo kỹ thuật số nào (trừ các dịch vụ giao dịch mã thông báo kỹ thuật số do MAS chỉ định);

2. Bất kỳ dịch vụ nào tạo điều kiện thuận lợi cho việc trao đổi mã thông báo kỹ thuật số (trừ các dịch vụ giao dịch mã thông báo kỹ thuật số do MAS chỉ định);

3. Bất kỳ dịch vụ nào chấp nhận token kỹ thuật số (dù là chủ thể chính hay đại lý) từ một tài khoản token kỹ thuật số (dù ở Singapore hay nơi khác) nhằm mục đích truyền hoặc sắp xếp việc truyền token kỹ thuật số tới một tài khoản token kỹ thuật số khác (dù ở Singapore hay nơi khác);

4. Bất kỳ dịch vụ nào sắp xếp (dù là chủ thể chính hay đại lý) để chuyển token kỹ thuật số từ một tài khoản token kỹ thuật số (dù ở Singapore hay nơi khác) sang một tài khoản token kỹ thuật số khác (dù ở Singapore hay nơi khác);

5. Bất kỳ dịch vụ nào dụ dỗ hoặc cố gắng dụ dỗ bất kỳ người nào tham gia hoặc đề nghị tham gia vào bất kỳ thỏa thuận nào để mua hoặc bán bất kỳ token kỹ thuật số nào để đổi lấy bất kỳ khoản tiền nào hoặc bất kỳ token kỹ thuật số nào khác (dù cùng loại hay khác loại);

6. Bất kỳ dịch vụ nào bảo vệ token kỹ thuật số mà nhà cung cấp dịch vụ kiểm soát token kỹ thuật số đó;

7. Bất kỳ dịch vụ nào thực hiện các hướng dẫn cho khách hàng liên quan đến token kỹ thuật số mà nhà cung cấp dịch vụ kiểm soát token kỹ thuật số đó;

8. Bất kỳ dịch vụ nào bảo vệ công cụ token kỹ thuật số mà nhà cung cấp dịch vụ kiểm soát một hoặc nhiều token kỹ thuật số được liên kết với công cụ token kỹ thuật số đó;

9. Bất kỳ dịch vụ nào thực hiện các hướng dẫn cho khách hàng liên quan đến một hoặc nhiều token kỹ thuật số được liên kết với công cụ token kỹ thuật số đó mà nhà cung cấp dịch vụ kiểm soát công cụ token kỹ thuật số đó;

10. Bất kỳ dịch vụ nào liên quan đến việc bán hoặc chào bán token kỹ thuật số bao gồm - 1. Cung cấp tư vấn liên quan đến bất kỳ token kỹ thuật số nào, trực tiếp hoặc thông qua các ấn phẩm hoặc bài viết (dưới dạng điện tử, in hoặc dạng khác); hoặc 2. Cung cấp tư vấn bằng cách xuất bản hoặc xuất bản các phân tích nghiên cứu hoặc báo cáo nghiên cứu (dưới dạng điện tử, in hoặc dạng khác) liên quan đến bất kỳ token kỹ thuật số nào.

3. Tiêu chí truy cập  

3.1  Do các thuộc tính internet và bản chất xuyên biên giới của các dịch vụ token kỹ thuật số, DTSP dễ bị rủi ro rửa tiền, tài trợ khủng bố và tài trợ phổ biến vũ khí hạt nhân (“ML/TF”) hơn. Điều này sẽ làm tăng nguy cơ các nhà cung cấp như vậy tham gia hoặc bị lạm dụng cho các mục đích bất hợp pháp, gây tổn hại đến danh tiếng của Singapore. Trước những rủi ro này, MAS cấp phép cho DTSP một cách thận trọng và thận trọng, và sẽ chỉ xem xét cấp giấy phép DTSP cho người nộp đơn theo Đạo luật FSM trong những trường hợp rất hiếm hoi. Những trường hợp hiếm hoi bao gồm:  

• mô hình kinh doanh của người nộp đơn là hợp lý về mặt kinh tế và người nộp đơn có thể chứng minh theo sự hài lòng của MAS rằng, mặc dù được điều hành hoặc thành lập/đăng ký tại Singapore, nhưng họ có lý do chính đáng để không có ý định tiếp tục kinh doanh dịch vụ mã thông báo kỹ thuật số tại Singapore;

• hoạt động của người nộp đơn không gây ra mối quan ngại cho MAS và họ đã được các cơ quan quản lý có liên quan quản lý và giám sát tại tất cả các khu vực pháp lý mà họ cung cấp dịch vụ mã thông báo kỹ thuật số ở nước ngoài liên quan đến việc tuân thủ các tiêu chuẩn được công nhận quốc tế có liên quan (chẳng hạn như các tiêu chuẩn do Hội đồng ổn định tài chính, Tổ chức quốc tế các ủy ban chứng khoán và Lực lượng đặc nhiệm hành động tài chính về rửa tiền (“FATF”) đặt ra);;  

• MAS không lo ngại về cơ cấu kinh doanh của người nộp đơn, chẳng hạn như khả năng tuân thủ các nghĩa vụ theo quy định.  

3.2  Người nộp đơn phải đáp ứng đầy đủ các tiêu chí sau và chứng minh rõ ràng rằng họ có khả năng tuân thủ các nghĩa vụ của mình theo Đạo luật FSM với tư cách là người được cấp phép.   

3.2.1 Yêu cầu về quản trị và sở hữu Người nộp đơn phải tuân thủ cơ cấu quản trị và sở hữu được nêu trong Phụ lục 1 và phải được đăng ký với Cơ quan quản lý kế toán và doanh nghiệp (ACRA) của Singapore.   

3.2.2 Phù hợp và thích hợp  Người nộp đơn phải thuyết phục MAS rằng chủ sở hữu duy nhất, các đối tác, nhà quản lý hoặc giám đốc và giám đốc điều hành (CEO), cổ đông và nhân viên, cũng như chính người nộp đơn, đủ điều kiện và phù hợp theo Hướng dẫn về Tiêu chuẩn phù hợp và phù hợp [FSG-G01]. Gánh nặng chứng minh rằng những người có liên quan đủ điều kiện và phù hợp thuộc về người nộp đơn, không phải MAS. Ngoài sự trung thực, liêm chính và uy tín, khả năng và năng lực, và tình hình tài chính lành mạnh cũng là những yếu tố cần xem xét và MAS cũng sẽ xem xét các yếu tố khác như sự tồn tại của xung đột lợi ích và cam kết thời gian của những người có liên quan đối với thực thể Singapore. Đặc biệt, thực thể và các nhóm liên quan của thực thể không được có bất kỳ danh tiếng bất lợi nào, đặc biệt là về tội phạm tài chính và tuân thủ lệnh trừng phạt.   

3.2.3 Năng lực của Nhân sự chủ chốt  Người nộp đơn phải đảm bảo rằng chủ sở hữu duy nhất, các đối tác, nhà quản lý hoặc giám đốc điều hành và giám đốc điều hành của mình có đủ kinh nghiệm hoạt động trong ngành dịch vụ mã thông báo kỹ thuật số, bao gồm hiểu biết tốt về khuôn khổ quản lý của DTSP Singapore.   

Nếu người có liên quan sẽ quản lý một nhóm lớn hơn, người đó cũng phải có kinh nghiệm, khả năng và ảnh hưởng phù hợp để giám sát và kiểm soát hiệu quả các hoạt động kinh doanh và nhân viên.  

Người nộp đơn cũng nên xem xét trình độ học vấn và trình độ chuyên môn của nhân sự chủ chốt của mình.  

3.2.4 Nơi kinh doanh cố định hoặc Văn phòng đã đăng ký  Người nộp đơn phải có nơi kinh doanh cố định hoặc văn phòng đã đăng ký tại Singapore. Nơi đó phải là khu vực văn phòng nơi sổ sách và hồ sơ của người nộp đơn có thể được lưu giữ an toàn. Người nộp đơn cũng phải chỉ định ít nhất một người có mặt để giải quyết mọi thắc mắc hoặc khiếu nại từ khách hàng và các yêu cầu/thông tin từ các cơ quan chức năng.   

3.2.5 Vốn cơ bản  Người nộp đơn xin cấp phép phải chứng minh với MAS rằng họ đã quen thuộc với các yêu cầu về vốn cơ bản theo Quy định FSM và chứng minh rõ ràng cách thức họ sẽ đáp ứng các yêu cầu này một cách liên tục, như được nêu trong Bảng 3. Với nghĩa vụ này, người nộp đơn phải đảm bảo rằng họ duy trì đủ mức đệm vốn vượt quá yêu cầu về vốn cơ bản, có tính đến quy mô và phạm vi kinh doanh của họ cũng như khả năng lãi lỗ. Nhìn chung, vốn cơ bản của một thực thể phải có khả năng trang trải chi phí hoạt động của người nộp đơn trong ít nhất 6 đến 12 tháng. Người nộp đơn cũng phải thiết lập các quy trình giám sát hiệu quả để đảm bảo rằng yêu cầu về vốn cơ bản luôn được đáp ứng, chẳng hạn như báo cáo thường xuyên hoặc thiết lập mức đệm vốn cụ thể trên mức yêu cầu tối thiểu.   

Bảng 1 Yêu cầu về vốn cơ bản

3.2.6 Thỏa thuận tuân thủNgười nộp đơn phải có kế hoạch thỏa thuận tuân thủ hiệu quả và đảm bảo rằng có đủ nguồn lực tuân thủ cho bản chất, quy mô và mức độ phức tạp của doanh nghiệp của họ. Các yêu cầu tối thiểu về thỏa thuận tuân thủ được nêu trong Phụ lục 2. Bất kể thỏa thuận tuân thủ được thiết lập như thế nào, chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và giám đốc điều hành của người nộp đơn đều có trách nhiệm và nghĩa vụ cuối cùng đối với việc tuân thủ các luật và quy định hiện hành.   

3.2.7 Quản lý rủi ro công nghệNgười nộp đơn phải tiến hành thử nghiệm thâm nhập dịch vụ mã thông báo kỹ thuật số mà họ đề xuất cung cấp, khắc phục mọi sự cố rủi ro cao đã xác định và xác minh độc lập tính hiệu quả của các biện pháp khắc phục. Công việc này không cần phải hoàn thành trước khi nộp đơn, nhưng phải hoàn thành trước khi cấp giấy phép.   

3.2.8 Sắp xếp kiểm toánNgười nộp đơn phải có kế hoạch sắp xếp kiểm toán độc lập phù hợp để đánh giá thường xuyên tính đầy đủ và hiệu quả của các quy trình, biện pháp kiểm soát và việc tuân thủ các yêu cầu theo quy định. Các sắp xếp kiểm toán phải tương xứng với quy mô, bản chất và mức độ phức tạp của doanh nghiệp. Kiểm toán có thể được thực hiện bởi chức năng kiểm toán nội bộ của người nộp đơn, một nhóm kiểm toán nội bộ độc lập tại trụ sở chính của người nộp đơn hoặc thuê ngoài cho một nhà cung cấp dịch vụ bên thứ ba.   

3.2.9 Yêu cầu kiểm toán hàng năm  Người nộp đơn phải có kế hoạch đáp ứng yêu cầu kiểm toán hàng năm theo quy định tại phần 158 của Đạo luật FSM. Kiểm toán viên phải do người nộp đơn chỉ định với chi phí của riêng mình để kiểm toán các tài khoản và giao dịch của mình và việc tuân thủ các quy định và yêu cầu có liên quan.   

3.2.10 Thư giải trình và/hoặc Thư cam kết  Khi thích hợp, MAS có thể yêu cầu người nộp đơn lấy thư giải trình và/hoặc thư cam kết từ cổ đông kiểm soát, công ty mẹ và/hoặc các công ty liên kết của mình. MAS sẽ cung cấp mẫu nếu đơn được chấp thuận.   

3.2.11 Các yếu tố khác MAS cũng có thể xem xét các yếu tố sau (nếu có):   

- Hồ sơ và tình hình tài chính của người nộp đơn và các công ty mẹ hoặc công ty liên kết của người nộp đơn;  

- Mức độ sẵn sàng hoạt động của người nộp đơn, bao gồm khả năng tuân thủ các yêu cầu theo quy định;  

- Liệu người nộp đơn có đánh giá đầy đủ các rủi ro chính liên quan đến hoạt động kinh doanh của mình và đã xác định, đánh giá và giảm thiểu đầy đủ các rủi ro có liên quan hay không;  

- Liệu việc cấp giấy phép có vì lợi ích công cộng hay không.  

3.3  MAS đánh giá từng đơn đăng ký dựa trên giá trị riêng của đơn và có thể xem xét các yếu tố khác theo từng trường hợp cụ thể. Các tiêu chí và cân nhắc trên không phải là đầy đủ và MAS có thể áp dụng các điều kiện hoặc yêu cầu bổ sung để giải quyết các rủi ro riêng biệt do người nộp đơn đặt ra.   

3.4  Người nộp đơn phải nộp đơn theo Mẫu 1. Tất cả người nộp đơn và người được cấp phép phải trả các khoản phí có liên quan được nêu trong Biểu phí của Quy định FSM. Để biết thêm thông tin về phí, vui lòng tham khảo Phụ lục 4. Người nộp đơn cũng nên tham khảo Phụ lục 5 để biết các quy tắc tham gia vào quy trình xem xét đơn đăng ký.   

4. Yêu cầu về đơn xin cấp phép  

4.1  Những người nộp đơn đã đánh giá rằng họ đáp ứng các tiêu chí nhập cảnh nên tham khảo Phụ lục 3 để biết hướng dẫn về thông tin cần thiết cho đơn xin cấp phép.   

Ý kiến ​​pháp lý cho đơn xin cấp phép mới  

4.1.1  Những người nộp đơn mới nộp đơn xin cấp phép DTSP phải nộp ý kiến ​​pháp lý do một công ty luật uy tín ban hành cùng với đơn xin cấp phép của họ. Ý kiến ​​pháp lý phải bao gồm tóm tắt rõ ràng và súc tích về mô hình kinh doanh của người nộp đơn và đánh giá xem các dịch vụ và/hoặc sản phẩm mà người nộp đơn đề xuất cung cấp có thuộc các dịch vụ mã thông báo kỹ thuật số được quản lý theo Đạo luật FSM hay không.   

4.1.2  Trong mọi trường hợp, nếu ý kiến ​​pháp lý ban đầu không rõ ràng, MAS có quyền yêu cầu ý kiến ​​pháp lý thứ hai.   

Đánh giá độc lập của Kiểm toán viên bên ngoài  

4.1.3  Sau khi có được Phê duyệt về nguyên tắc (“IPA”), người nộp đơn sẽ chỉ định một kiểm toán viên bên ngoài độc lập đủ điều kiện để tiến hành đánh giá độc lập các chính sách, quy trình và biện pháp kiểm soát của mình trong các lĩnh vực rủi ro công nghệ và an ninh mạng (yêu cầu này sẽ được đưa vào như một điều kiện của IPA. Phạm vi đánh giá rủi ro công nghệ và an ninh mạng được nêu trong Phụ lục 6).   

5. Các yêu cầu liên tục đối với người được cấp phép  

5.1 Người được cấp phép phải tuân thủ mọi yêu cầu hiện hành theo Đạo luật FSM và các luật liên quan khác một cách liên tục. Người được cấp phép phải thiết lập các quy trình, hệ thống, chính sách và quy trình để đảm bảo đáp ứng mọi nghĩa vụ liên tục, bao gồm cả việc nộp đơn và thông báo cho MAS khi cần thiết. Sau đây là phác thảo một số yêu cầu, nhưng không phải tất cả. Người được cấp phép phải theo dõi các diễn biến về quy định và truy cập trang web của MAS để biết các yêu cầu mới nhất.   

5.2 Yêu cầu về chống rửa tiền và chống tài trợ khủng bố (“AML/CFT”) Người được cấp phép phải tuân thủ các yêu cầu AML/CFT được nêu trong Quy định về dịch vụ tài chính và thị trường (bao gồm các yêu cầu liên quan đến lệnh trừng phạt tài chính có mục tiêu), Đạo luật chống khủng bố (ngăn chặn tài trợ) năm 2002, Đạo luật tham nhũng, buôn bán ma túy và các tội phạm nghiêm trọng khác (tịch thu lợi ích) năm 1992, Thông báo phòng chống rửa tiền và chống tài trợ khủng bố [FSM-N27] và Thông báo báo cáo hoạt động đáng ngờ và gian lận [FSM-N28]. Người được cấp phép cũng nên tham khảo Hướng dẫn về Thông báo FSM-N27 để biết thông tin về các yêu cầu AML/CFT của họ.   

5.3 Báo cáo định kỳ  Người được cấp phép phải nộp báo cáo định kỳ theo quy định liên quan đến hoạt động mã thông báo kỹ thuật số của họ theo Quy định của FSM. Các yêu cầu có liên quan được nêu trong Thông báo về việc nộp báo cáo theo quy định [FSM-N29].   

5.4 An ninh mạng  Người được cấp phép phải tuân thủ các yêu cầu về an ninh mạng được nêu trong Thông báo an ninh mạng [FSM-N31] và có các biện pháp bảo vệ phù hợp để bảo vệ thông tin khách hàng.   

5.5 Quản lý rủi ro công nghệ  Người được cấp phép phải tuân thủ Thông báo quản lý rủi ro công nghệ [FSM-N30] và tham khảo Hướng dẫn thực hành quản lý rủi ro công nghệ để biết các yêu cầu về quản lý rủi ro công nghệ.   

5.6 Tiến hành kinh doanh  Người được cấp phép phải tuân thủ các yêu cầu về hành vi kinh doanh trong Đạo luật FSM, Quy định FSM và Thông báo về hành vi [FSM-N32]. Các nghĩa vụ này bao gồm ghi lại các giao dịch, phát hành biên lai, hiển thị tỷ giá hối đoái và phí và thông báo giờ làm việc thông thường. Người được cấp phép cũng phải đảm bảo tuân thủ mọi lệnh cấm và hạn chế, bao gồm các hoạt động kinh doanh bị cấm.   

5.7 Tiết lộ và Truyền thông  Người được cấp phép phải đưa ra tuyên bố chính xác về phạm vi giấy phép của mình và, khi áp dụng cho doanh nghiệp của mình, phải cung cấp các tiết lộ theo yêu cầu của Thông báo Tiết lộ và Truyền thông [FSM-N33]. Người được cấp phép cũng phải đảm bảo rằng khách hàng được cập nhật kịp thời về bất kỳ thay đổi quan trọng nào đối với các tiết lộ.   

5.8 Yêu cầu Kiểm toán Hàng năm  Người được cấp phép phải chỉ định một kiểm toán viên hàng năm để kiểm toán các tài khoản và giao dịch của mình cũng như việc tuân thủ các quy định và yêu cầu. Người được cấp phép phải đảm bảo rằng kiểm toán viên nộp báo cáo cho MAS theo Mẫu 3.   

Phụ lục 1  

A1 Yêu cầu về quản trị và quyền sở hữu  

Phụ lục 2

A2 Các thỏa thuận tuân thủ tối thiểu  

Người nộp đơn phải đảm bảo rằng mình có các thỏa thuận tuân thủ hiệu quả và các nguồn lực tuân thủ đầy đủ tương xứng với quy mô, bản chất và mức độ phức tạp của doanh nghiệp. Điều này có thể diễn ra dưới các hình thức sau:  

• - Chức năng tuân thủ độc lập  Người nộp đơn phải thành lập một chức năng tuân thủ độc lập tại Singapore với đội ngũ nhân viên có đủ trình độ trong các lĩnh vực liên quan đến hoạt động kinh doanh của mình. Cán bộ tuân thủ cũng có thể đảm nhận các vai trò bổ sung, không xung đột khác, chẳng hạn như cố vấn pháp lý nội bộ.   

• - Hỗ trợ tuân thủ từ công ty mẹ hoặc đơn vị liên quan ở nước ngoài  Người nộp đơn có thể nhận được hỗ trợ tuân thủ từ một nhóm tuân thủ chuyên trách độc lập tại công ty mẹ hoặc đơn vị liên quan ở nước ngoài của mình, với điều kiện nhóm này có thể chứng minh được sự giám sát đầy đủ của cán bộ tuân thủ, chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và CEO cùng các quản lý cấp cao khác của người nộp đơn.   

Người nộp đơn cũng phải có các thỏa thuận quản lý tuân thủ phù hợp, bao gồm ít nhất là việc bổ nhiệm một cán bộ tuân thủ có đủ trình độ ở cấp quản lý. Người này phải có trụ sở tại Singapore, có đủ chuyên môn trong các lĩnh vực liên quan đến hoạt động kinh doanh của mình và có thẩm quyền giám sát chức năng tuân thủ của người nộp đơn, mặc dù người đó có thể được các nhân viên khác hỗ trợ trong các hoạt động hàng ngày.   

Người nộp đơn cũng phải có một cấu trúc quản trị phù hợp để giám sát các vấn đề tuân thủ và AML/CFT (bao gồm cả những vấn đề liên quan đến các lệnh trừng phạt tài chính có mục tiêu). Tùy thuộc vào quy mô của doanh nghiệp và cấu trúc tập đoàn, người nộp đơn có thể cân nhắc việc để nhân viên tuân thủ báo cáo thường xuyên với hội đồng quản trị hoặc một ủy ban hội đồng quản trị về các vấn đề tuân thủ và AML/CFT và đưa ra quyết định về các vấn đề nằm ngoài thẩm quyền của nhân viên tuân thủ.   

Người nộp đơn cần lưu ý rằng, bất kể lựa chọn sắp xếp nào, chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và giám đốc điều hành của người nộp đơn đều chịu trách nhiệm cuối cùng về mọi vấn đề tuân thủ và quy định và phải giám sát đầy đủ các sắp xếp đó.   

Theo đó, ban quản lý cấp cao và cán bộ tuân thủ của người nộp đơn phải có khả năng chứng minh rằng họ hiểu đầy đủ về rủi ro tuân thủ và ML/FT mà các hoạt động kinh doanh của người nộp đơn phải đối mặt và các biện pháp đã thực hiện để quản lý hiệu quả những rủi ro này.   

Phụ lục 3  

A3 Hướng dẫn về thông tin bắt buộc đối với đơn xin cấp giấy phép  

Người nộp đơn phải đảm bảo rằng mình đáp ứng đầy đủ các tiêu chí tuyển sinh và đơn đăng ký phải đầy đủ, không có lỗi và không nhất quán, đồng thời kèm theo các tài liệu hỗ trợ cần thiết được nêu trong đơn đăng ký.   

Thông tin bắt buộc trong Kế hoạch kinh doanh được đề xuất  

Cụ thể, kế hoạch kinh doanh được đề xuất phải bao gồm các thông tin sau:  

Người nộp đơn phải cung cấp mô tả rõ ràng về mô hình kinh doanh và các kế hoạch của mình, được hỗ trợ bởi kinh nghiệm chuyên môn và chuyên môn của nhóm quản lý được đề xuất. Kế hoạch kinh doanh phải mô tả cách thức tuân thủ Đạo luật FSM và các luật phụ liên quan và bao gồm các thông tin sau:  

- Khu vực pháp lý của dịch vụ, bao gồm bằng chứng cho thấy người nộp đơn đã được cấp phép hoạt động tại các khu vực pháp lý nơi cung cấp dịch vụ mã thông báo kỹ thuật số và được các cơ quan quản lý có liên quan giám sát để tuân thủ các tiêu chuẩn được quốc tế công nhận có liên quan (chẳng hạn như các tiêu chuẩn do Hội đồng ổn định tài chính, Tổ chức quốc tế các ủy ban chứng khoán và FATF đặt ra).  

- Hồ sơ khách hàng mục tiêu.  

- Các sản phẩm và dịch vụ được đề xuất. Người nộp đơn phải nêu rõ loại dịch vụ mã thông báo kỹ thuật số mà họ sẽ thực hiện ở mỗi giai đoạn của quy trình giao dịch. Nếu người nộp đơn có ý định cung cấp nhiều hơn một loại dịch vụ mã thông báo kỹ thuật số, thì mỗi loại dịch vụ mã thông báo kỹ thuật số phải được đánh giá riêng.  

- Lý do tại sao họ không có ý định tiếp tục kinh doanh dịch vụ mã thông báo kỹ thuật số tại Singapore mặc dù được điều hành hoặc thành lập/đăng ký tại Singapore.  

- Kế hoạch dòng tiền và kênh chi tiết, bao gồm sơ đồ luồng giao dịch và/hoặc quy trình. Nếu có nhiều hơn một sản phẩm hoặc dịch vụ, hoặc nhiều hơn một loại giao dịch và/hoặc luồng quy trình, thì phải cung cấp sơ đồ cho từng luồng. Sơ đồ luồng phải:  

• Mô tả một giao dịch điển hình từ nguồn tiền mà người nộp đơn chấp nhận (ví dụ: chuyển khoản ngân hàng, tiền mặt, thẻ ngân hàng) đến việc thực hiện đầy đủ các nghĩa vụ của mình đối với khách hàng.  

• Mô tả các tương tác giữa khách hàng và người nộp đơn và dòng tiền.  

• Chỉ ra mốc thời gian, bao gồm các thỏa thuận về mức độ dịch vụ với bên thứ ba và các chu kỳ thanh toán và quyết toán áp dụng.  

• Nêu bật các lĩnh vực mà nó sử dụng các công nghệ tiên tiến (ví dụ: sử dụng hoặc cung cấp mã thông báo kỹ thuật số, công nghệ sổ cái phân tán) hoặc các phương pháp cung cấp sản phẩm hoặc dịch vụ khác với các chuẩn mực thị trường.  

• Bao gồm tất cả các bên thứ ba có liên quan (ví dụ: các nhà cung cấp dịch vụ mã thông báo kỹ thuật số khác, đối tác ngân hàng, bên trung gian, các đại lý khác) và mô tả vai trò của họ trong quy trình.  

- Kế hoạch triển khai, bao gồm mốc thời gian dự kiến ​​cho việc ra mắt doanh nghiệp/sản phẩm và các hệ thống, quy trình và bên thứ ba sẽ đóng vai trò chính trong hoạt động của nó.  

- Dịch vụ mã thông báo kỹ thuật số có phải là dịch vụ phụ trợ hay đi kèm với bất kỳ sản phẩm hoặc dịch vụ nào khác do người nộp đơn cung cấp hay không.  

- Mô tả ngắn gọn về bất kỳ hoạt động nào khác hiện đang được người nộp đơn tiến hành hoặc đề xuất tiến hành theo quy định của MAS (ví dụ: tư vấn tài chính, giao dịch chứng khoán, v.v.).  

- Mô tả ngắn gọn về bất kỳ hoạt động miễn trừ và không được quy định nào hiện đang được người nộp đơn tiến hành hoặc đề xuất tiến hành.  

- Đối với những người nộp đơn là một phần của nhóm dịch vụ mã thông báo kỹ thuật số toàn cầu:  

• Vai trò của người nộp đơn trong nhóm, bao gồm các chức năng hoặc dịch vụ mà người nộp đơn sẽ nhận được từ và/hoặc cung cấp cho các chi nhánh của mình trong nhóm, nếu có. Nếu có thể, người nộp đơn nên cung cấp ước tính về mức độ nguồn lực (về số lượng nhân viên và thời gian cam kết) của các chi nhánh khác trong tập đoàn để hỗ trợ hoạt động kinh doanh tại Singapore.  

• Xác nhận rằng tất cả các thực thể của mình đều được cấp phép/đăng ký đầy đủ và cung cấp thông tin chi tiết về việc cấp phép/đăng ký của từng thực thể. Người nộp đơn nên cung cấp một bản sao giấy phép/giấy chứng nhận đăng ký hoặc thông tin về trạng thái cấp phép/đăng ký của mình trên trang web của cơ quan quản lý. Người nộp đơn nên tiết lộ bất kỳ hành động/cuộc điều tra thực thi theo quy định nào mà bất kỳ thực thể nào của mình có thể tham gia.  

- Đánh giá rủi ro toàn diện đối với tất cả các mã thông báo kỹ thuật số và dịch vụ mã thông báo kỹ thuật số (ví dụ: nền tảng giao dịch, lưu ký) mà mình có ý định hỗ trợ hoặc cung cấp, bao gồm cả quy trình quản lý niêm yết mã thông báo của mình. Người nộp đơn nên cung cấp danh sách đầy đủ các mã thông báo kỹ thuật số mà mình hỗ trợ và giải thích đánh giá của mình về bản chất của các mã thông báo (ví dụ: chúng là mã thông báo bảo mật hay mã thông báo thanh toán) theo khuôn khổ quy định của MAS.  

- Các biện pháp tiếp cận người tiêu dùng và các biện pháp ứng xử trong kinh doanh để duy trì quyền truy cập mã thông báo kỹ thuật số của khách hàng và kiểm soát hoạt động tại Singapore, đối chiếu hàng ngày các tài khoản của khách hàng và cung cấp sao kê tài khoản hàng tháng cho khách hàng, kiểm soát quản lý rủi ro (kiểm soát việc di chuyển tài sản của khách hàng), tiết lộ cho khách hàng.   

Ý kiến ​​pháp lý  

Người nộp đơn phải cung cấp ý kiến ​​pháp lý do một công ty luật có uy tín đưa ra về các dịch vụ mã thông báo kỹ thuật số được quản lý mà công ty sẽ cung cấp theo mô hình kinh doanh được đề xuất. Ý kiến ​​pháp lý phải bao gồm (nhưng không giới hạn ở) những nội dung sau: - Tóm tắt rõ ràng và súc tích về mô hình kinh doanh của người nộp đơn và từng dịch vụ và sản phẩm mà người nộp đơn đề xuất cung cấp (bao gồm dòng tài sản/quỹ và các bên liên quan cho từng dịch vụ/sản phẩm, nếu có). - Đánh giá xem dịch vụ hoặc sản phẩm được đề xuất có nằm trong nghĩa của dịch vụ mã thông báo kỹ thuật số được quản lý theo Đạo luật FSM hay không. Đánh giá phải bao gồm phân tích chi tiết và toàn diện về việc liệu từng dịch vụ mã thông báo kỹ thuật số được quản lý có áp dụng cho từng dịch vụ hoặc sản phẩm được đề xuất hay không. Đánh giá cũng phải tính đến tất cả các luật, thông báo, hướng dẫn, thông tư và Câu hỏi thường gặp có liên quan. - Nếu bất kỳ dịch vụ hoặc sản phẩm được đề xuất nào được đánh giá là miễn trừ hoặc không được quản lý, thì phải có giải thích chi tiết về cách áp dụng miễn trừ hoặc ngoại lệ có liên quan. - Xác nhận rằng ý kiến ​​pháp lý sẽ được tiết lộ cho MAS.

Thông tin cần thiết để tuân thủ, quản lý rủi ro, hệ thống và kiểm soát

Quản lý rủi ro công nghệ

Người nộp đơn phải có khuôn khổ để đánh giá và quản lý rủi ro công nghệ và thực hiện các biện pháp bảo vệ dữ liệu, giao dịch và hệ thống của khách hàng tương xứng với mức độ rủi ro và tính phức tạp của các dịch vụ tài chính được cung cấp và công nghệ hỗ trợ các dịch vụ này. Người nộp đơn nên tham khảo Thông báo quản lý rủi ro công nghệ [FSM-N30], Thông báo an ninh mạng [FSM-N31] và Hướng dẫn thực hành quản lý rủi ro công nghệ để biết các nguyên tắc quản lý rủi ro công nghệ thông tin và kỳ vọng của cơ quan quản lý.

Tuân thủ và kiểm toán

Người nộp đơn nên cung cấp các thông tin và tài liệu sau đây phù hợp với bản chất của mô hình kinh doanh được đề xuất:

• Các chính sách và thủ tục chống rửa tiền/chống tài trợ khủng bố chứng minh sự tuân thủ Thông báo FSM-N27 của MAS và các yêu cầu trừng phạt tài chính có mục tiêu liên quan. Điều này nên bao gồm một khuôn khổ để đánh giá và giám sát các đại lý và đối tác bên thứ ba (cả trong nước và nước ngoài).

• Đánh giá rủi ro rửa tiền/tài trợ khủng bố/tài trợ phổ biến vũ khí hủy diệt hàng loạt (“EWRA”) trên toàn doanh nghiệp. Người nộp đơn cũng nên đưa Đánh giá rủi ro trốn thuế vào EWRA.

• Các thỏa thuận quản trị, leo thang và báo cáo AML/CTF. Điều này phải bao gồm thông tin chi tiết về sự tham gia của chủ sở hữu duy nhất, các đối tác, người quản lý hoặc giám đốc và CEO cùng các quản lý cấp cao khác trong việc giám sát và giải quyết các vấn đề AML/CTF có thể phát sinh trong quá trình kinh doanh.

• Kế hoạch triển khai các thỏa thuận quản lý tuân thủ, bao gồm các quy trình đã triển khai và các hệ thống sẽ được sử dụng.

• Tên và sơ yếu lý lịch (“CV”) của Cán bộ tuân thủ, bao gồm thông tin chi tiết về bất kỳ chứng chỉ tuân thủ chính thức nào, ví dụ: ACAMS, IBF.

• Nếu sơ đồ tổ chức không bao gồm các thỏa thuận về nhân sự và các kênh báo cáo cho chức năng tuân thủ, thì hãy cung cấp thông tin chi tiết về những điều này. Điều này phải bao gồm thông tin chi tiết về tất cả các chức năng tuân thủ được thuê ngoài, bao gồm vị trí của nhà cung cấp và nhóm được thuê ngoài, mối quan hệ của người nộp đơn với nhà cung cấp được thuê ngoài (ví dụ: nhà cung cấp, công ty mẹ), tình trạng cấp phép/đăng ký của nhà cung cấp được thuê ngoài và các thỏa thuận giám sát.

• Các thỏa thuận kiểm toán nội bộ và bên ngoài.

Cơ cấu cổ đông

Người nộp đơn phải cung cấp cơ cấu cổ đông đầy đủ (xuống đến người kiểm soát cuối cùng), người này phải là một cá nhân.

Cần phải có xác nhận bằng văn bản nếu người nộp đơn không có cổ đông kiểm soát 20%.

Phụ lục 4

Phí cấp phép hàng năm A4

Phí cấp phép phải được thanh toán hàng năm theo quy định tại Điều 140 của Đạo luật FSM như được nêu chi tiết trong Phụ lục của Quy định FSM. Tất cả các khoản phí cấp phép đã thanh toán đều không được hoàn lại.

Người được cấp phép phải ký thỏa thuận chuyển khoản tự động qua ngân hàng (GIRO) với MAS để thanh toán phí cấp phép hàng năm. Người được cấp phép phải đảm bảo rằng thông tin chi tiết về thỏa thuận GIRO của họ được cập nhật và có đủ tiền trong tài khoản ngân hàng của họ vào ngày khấu trừ được chỉ định trong thông báo về phí.

Phí cấp phép theo tỷ lệ cho người được cấp phép mới

Đối với người được cấp phép mới không được cấp phép vào ngày 1 tháng 1 của năm cấp phép, phí cấp phép cho năm dương lịch đầu tiên sau khi cấp phép được tính theo tỷ lệ của phí cấp phép cố định hàng năm cho giai đoạn từ ngày cấp phép đến ngày 31 tháng 12 của cùng năm. Ví dụ 1 cho thấy cách tính phí cấp phép năm đầu tiên.

Ví dụ 1 Một công ty xin cấp giấy phép DTSP vào ngày 1 tháng 12 năm 2025.

Phụ lục 5

A5 Quy tắc tham gia vào Quy trình xem xét đơn

Yêu cầu thông tin và xem xét ban đầu

Quy trình xem xét đơn bắt đầu bằng việc phân công một nhân viên phụ trách hồ sơ và nhận tất cả thông tin và tài liệu bắt buộc từ người nộp đơn. Tùy thuộc vào khối lượng đơn nhận được, việc phân công hồ sơ có thể không diễn ra ngay sau khi MAS nhận được đơn. Sau khi một trường hợp được phân công, nhân viên phụ trách trường hợp sẽ liên lạc với người nộp đơn để thông báo cho người đó về các bước tiếp theo cần thiết, có thể bao gồm một cuộc họp khởi động.

Nhân viên phụ trách trường hợp sẽ xem xét toàn bộ bộ tài liệu đã nộp, thường sẽ cấu thành vòng yêu cầu thông tin đầu tiên mà người nộp đơn sẽ nhận được. Nhân viên phụ trách trường hợp cũng sẽ tiến hành đánh giá sơ bộ về mô hình kinh doanh của người nộp đơn. Trong quá trình đánh giá, có thể có nhiều vòng yêu cầu thông tin và làm rõ, tùy thuộc vào mức độ đầy đủ của các phản hồi mà người nộp đơn đã nộp.

Trước khi nộp đơn, người nộp đơn phải luôn đảm bảo rằng đơn đáp ứng các tiêu chí tuyển sinh được nêu trong các hướng dẫn này và chứa thông tin cần thiết theo yêu cầu của Phụ lục 3 trong các hướng dẫn này. MAS có quyền từ chối đơn nếu đơn nộp được đánh giá là không đầy đủ nghiêm trọng hoặc có những thiếu sót lớn. Người nộp đơn cũng phải luôn có người liên hệ để theo dõi các yêu cầu thông tin này và cung cấp phản hồi đầy đủ kịp thời. Người nộp đơn phải thông báo ngay cho MAS về bất kỳ thay đổi nào về người liên hệ.

Người nộp đơn phải tiết lộ tất cả thông tin quan trọng cho nhân viên phụ trách vụ án một cách nhanh chóng, chủ động và đầy đủ mà không được che giấu. Nếu người nộp đơn bị phát hiện cố tình che giấu, che giấu hoặc trì hoãn việc tiết lộ thông tin mà không có lý do chính đáng, thì đó sẽ được coi là một thiếu sót lớn. Người nộp đơn được nhắc nhở rằng họ phải hết sức cẩn thận để đảm bảo rằng thông tin và tài liệu cung cấp cho MAS không sai hoặc gây hiểu lầm. Một cá nhân vi phạm điều 176(1) hoặc 176(3) của Đạo luật FSM có thể phạm tội và có thể phải chịu phạt tiền hoặc phạt tù khi bị kết án.

Tính kịp thời và chất lượng phản hồi

MAS thường sẽ cung cấp cho người nộp đơn một thời hạn mà họ phải trả lời yêu cầu cung cấp thông tin. Nếu người nộp đơn không trả lời trong thời gian quy định, MAS sẽ coi đơn đã bị rút lại. Nếu người nộp đơn cần thêm thời gian để chuẩn bị phản hồi, thì phải thông báo trước cho nhân viên phụ trách vụ án.

Người nộp đơn cũng phải cân bằng giữa thời gian cần thiết để cung cấp phản hồi đủ toàn diện và nhu cầu phản hồi nhanh chóng để đẩy nhanh quá trình xem xét. Việc không cung cấp phản hồi thỏa đáng và toàn diện sẽ được đánh giá là thiếu sót có thể dẫn đến việc xem xét đơn không thuận lợi.

Phỏng vấn

Thông thường, viên chức phụ trách hồ sơ sẽ sắp xếp một cuộc phỏng vấn với nhân viên quản lý chính và/hoặc viên chức tuân thủ của người nộp đơn. Tất cả đại diện của người nộp đơn phải coi trọng tương tác của họ với viên chức phụ trách hồ sơ. Mục đích của cuộc phỏng vấn là để người nộp đơn giải thích cách họ dự định quản lý doanh nghiệp và rủi ro của mình để tuân thủ các yêu cầu của quy định. Các cố vấn, cố vấn pháp lý bên ngoài và các bên thứ ba khác không được phép tham dự cuộc phỏng vấn. Điều này là do ngay cả khi người nộp đơn thuê ngoài bất kỳ chức năng nào của mình, họ vẫn phải chịu trách nhiệm đáp ứng các nghĩa vụ theo quy định của mình.

Các trường hợp tiềm ẩn mà một viên chức phụ trách hồ sơ có lý do chính đáng để tin rằng người nộp đơn không thể đáp ứng đầy đủ các nghĩa vụ của mình với tư cách là người được cấp phép bao gồm, nhưng không giới hạn ở, những trường hợp sau:

• Không tham dự buổi phỏng vấn mà không có lý do chính đáng;

• Không có khả năng trả lời rõ ràng các câu hỏi trong buổi phỏng vấn;

• Thô lỗ với viên chức phụ trách hồ sơ.

Nếu có những thay đổi đáng kể đối với đơn sau buổi phỏng vấn nhưng trước khi có kết quả của đơn, viên chức phụ trách hồ sơ có thể sắp xếp một buổi phỏng vấn bổ sung với người nộp đơn. Ví dụ về những thay đổi như vậy bao gồm những thay đổi trong việc bổ nhiệm nhân sự chủ chốt của người nộp đơn hoặc những thay đổi trong mô hình kinh doanh của người nộp đơn.

Quy trình xem xét của MAS

Các viên chức phụ trách hồ sơ có nghĩa vụ phải tiến hành đánh giá toàn diện đơn. Ngay cả ở giai đoạn nộp đơn, mục tiêu của người nộp đơn là xin được giấy phép và do đó phải tuân theo các quy định và giám sát liên tục, như thể họ đang ở trong một hệ thống quản lý. Các viên chức phụ trách vụ án sẽ xem xét đơn trong bối cảnh này và mong đợi người nộp đơn hành động như thể họ là một tổ chức tài chính đã được quản lý. Những người nộp đơn không làm như vậy sẽ được đánh giá là có những thiếu sót tiềm ẩn về mặt vật chất, có thể dẫn đến việc đơn bị từ chối.

Tạm giữ đơn

MAS phải được thông báo kịp thời về bất kỳ thay đổi nào đối với thông tin được cung cấp sau khi đơn đã được nộp. Nếu có những thay đổi về mặt vật chất đối với đơn, người nộp đơn có thể cân nhắc rút đơn và nộp lại đơn sau khi hoàn tất các thay đổi vì đơn sẽ không khả dụng để xem xét cho đến lúc đó.

Trong quá trình xem xét, nếu có sự tái cấu trúc công ty lớn, những thay đổi lớn về nhân sự quản lý chủ chốt hoặc thay đổi lớn về mô hình/hoạt động kinh doanh, MAS có quyền tạm giữ các đơn được đánh giá là chưa sẵn sàng để xem xét trong sáu tháng. Mặc dù người nộp đơn có thể không lường trước được những thay đổi lớn như vậy, nhưng thời gian giữ lại cho phép chuyển hướng các nguồn lực từ những đơn xin chưa hoàn thành này để đảm bảo tính công bằng cho tất cả những người nộp đơn khác đã sẵn sàng trong hàng đợi.

Trong thời gian giữ lại, người nộp đơn có trách nhiệm đảm bảo rằng tất cả các thay đổi cần thiết đều được giải quyết/hoàn thành kịp thời và các tài liệu có liên quan được cung cấp cho MAS để đánh giá vào cuối thời gian giữ lại. Thời gian giữ lại mặc định là sáu tháng và không thể gia hạn. Nếu những thay đổi quan trọng không được hoàn thành trong thời gian giữ lại, đơn xin sẽ được đánh giá là chưa sẵn sàng để xem xét và người nộp đơn nên cân nhắc rút đơn.

Rút đơn

Người nộp đơn có quyền rút đơn của mình bất kỳ lúc nào. Người nộp đơn cũng có thể được khuyên rút đơn của mình nếu, sau khi MAS xem xét, có những vấn đề cơ bản không thể giải quyết thỏa đáng trong thời gian hợp lý hoặc nếu đơn xin được đánh giá là có những thiếu sót lớn. Người nộp đơn nên lưu ý rằng nếu viên chức phụ trách hồ sơ đưa ra đánh giá như vậy, điều đó có nghĩa là những người nộp đơn khác trong hoàn cảnh tương tự đã không được chấp thuận. Các biện pháp kiểm soát chặt chẽ được áp dụng để đảm bảo rằng nhân viên phụ trách hồ sơ đưa ra đánh giá công bằng, khách quan và có thể xác minh được. Mỗi đơn đăng ký và các tài liệu hỗ trợ đều được nhóm nhân viên phụ trách hồ sơ, nhân viên giám sát và các cơ quan xem xét và phê duyệt xem xét nghiêm ngặt. Do đó, người nộp đơn nên coi trọng quy trình xem xét và kết quả của quy trình.

Nếu người nộp đơn có ý định nộp lại đơn, họ phải đảm bảo rằng mọi vấn đề và thiếu sót đã được giải quyết thỏa đáng. Việc nộp lại đơn mà không sửa các vấn đề mà MAS đã nêu trước đó có thể dẫn đến việc bị từ chối.

Về việc giữ đơn, những thay đổi lớn về nhân sự quản lý chủ chốt chủ yếu đề cập đến những thay đổi liên quan đến các vị trí C-suite quan trọng như Tổng giám đốc điều hành, Giám đốc tài chính, Giám đốc rủi ro và Giám đốc tuân thủ. Tuy nhiên, người nộp đơn cũng nên đánh giá và nêu bật những thay đổi khác ở các vị trí cần được coi là nhân sự quản lý chủ chốt dựa trên tính quan trọng của mô hình kinh doanh và tầm quan trọng của các kênh báo cáo.

Phụ lục 6

A6 Đánh giá độc lập của Kiểm toán viên bên ngoài

A. Rủi ro về công nghệ và an ninh mạng:

(Người nộp đơn sẽ hoàn thành sau khi được chấp thuận về nguyên tắc)

1. Tiêu chí dành cho Kiểm toán viên bên ngoài được chỉ định để tiến hành Đánh giá độc lập về Rủi ro về công nghệ và an ninh mạng
   Kiểm toán viên bên ngoài do người nộp đơn chỉ định để tiến hành đánh giá độc lập phải đáp ứng các tiêu chí sau:
   

2. Phạm vi đánh giá
   Sau đây là các lĩnh vực rủi ro về công nghệ và an ninh mạng sẽ được kiểm toán viên bên ngoài độc lập đánh giá như một điều kiện của Phê duyệt về nguyên tắc (IPA).

Người đứng đầu doanh nghiệp phải có đủ thâm niên và kinh nghiệm cũng như chuyên môn trong các lĩnh vực rủi ro về công nghệ và an ninh mạng (rủi ro công nghệ). Người nộp đơn có trách nhiệm đảm bảo rằng một kiểm toán viên bên ngoài độc lập có trình độ phù hợp được chỉ định để tiến hành đánh giá độc lập về các chính sách, quy trình và biện pháp kiểm soát rủi ro công nghệ của mình.

I. An ninh mạng

a. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, dòng vốn và kênh phân phối được đề xuất của Người nộp đơn,
i. Xác định bất kỳ khoảng cách nào với các yêu cầu pháp lý có liên quan như được nêu trong Thông báo an ninh mạng FSM-N31 của MAS;
ii. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro an ninh mạng.

II. Phòng ngừa mất dữ liệu

a. Xem xét và đánh giá các Chính sách và Kiểm soát bảo vệ thông tin (IPPC) được đề xuất của Người nộp đơn trong các lĩnh vực sau:
i. Bảo vệ dữ liệu nhạy cảm (bao gồm dữ liệu khách hàng) trong quá trình truyền và lưu trữ;
ii. Phát hiện và ngăn chặn truy cập hoặc tiết lộ trái phép (bao gồm cả giao tiếp, truyền và lưu trữ) dữ liệu nhạy cảm (bao gồm thông tin khách hàng);
iii. Bảo vệ khóa mã hóa ví lưu ký.
b. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, dòng tiền và kênh phân phối được đề xuất của Người nộp đơn,
iv. Xác định bất kỳ khoảng cách nào với các yêu cầu quản lý rủi ro công nghệ hiện hành (bao gồm nhưng không giới hạn ở Thông báo quản lý rủi ro công nghệ FSM-N30 của MAS và Mục 11 của Hướng dẫn quản lý rủi ro công nghệ);
v. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro công nghệ phát sinh từ mô hình kinh doanh được đề xuất.

III. Kiểm tra thâm nhập

a. Xem xét và đánh giá các IPPC được Người nộp đơn đề xuất về các hệ thống kiểm tra thâm nhập, bao gồm:
i. Tần suất kiểm tra thâm nhập được xác định dựa trên các yếu tố như mức độ quan trọng của hệ thống và rủi ro mạng mà hệ thống phải đối mặt. Đối với các hệ thống có thể truy cập trực tiếp từ internet, Người nộp đơn phải tiến hành kiểm tra thâm nhập ít nhất hàng năm hoặc khi có những thay đổi hoặc cập nhật đáng kể đối với các hệ thống này để xác minh tính đầy đủ của các biện pháp kiểm soát bảo mật;
ii. Thỏa thuận mức dịch vụ (“SLA”) để khắc phục các phát hiện kiểm tra thâm nhập tương xứng với mức độ rủi ro có liên quan.
b. Xem xét và đánh giá xem thử nghiệm thâm nhập được tiến hành trên các dịch vụ tài chính trực tuyến do người nộp đơn đề xuất (trong vòng 12 tháng qua) có phù hợp và đủ để xác định các lỗ hổng bảo mật quan trọng hay không.
c. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, luồng tài chính và kênh phân phối do người nộp đơn đề xuất,
i. Xác định bất kỳ khoảng cách nào với các kỳ vọng theo quy định hiện hành về quản lý rủi ro công nghệ (bao gồm nhưng không giới hạn ở Mục 13.2 của Nguyên tắc quản lý rủi ro công nghệ);
ii. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro công nghệ do mô hình kinh doanh do người nộp đơn đề xuất gây ra.

IV. VÍ SỐ VÀ HỢP ĐỒNG THÔNG MINH

a. Xem xét các IPPC do Người nộp đơn đề xuất và đánh giá xem các IPPC do Người nộp đơn đề xuất có bao gồm các biện pháp kiểm soát sau đây tương xứng với mô hình kinh doanh, sản phẩm, dịch vụ, luồng vốn và kênh phân phối do Người nộp đơn đề xuất hay không:
i. Thực hiện các nguyên tắc thiết kế an toàn (bao gồm kiểm soát truy cập phù hợp, thử nghiệm toàn diện, cập nhật thường xuyên lên các phiên bản ổn định, phân tích mã tĩnh và động) trong vòng đời phát triển hệ thống của các hệ thống được đề xuất và hợp đồng thông minh (nếu có liên quan);
ii. Phát triển hợp đồng thông minh, bao gồm các biện pháp kiểm soát để đảm bảo rằng hợp đồng thông minh được bảo vệ khỏi các mối đe dọa và lỗ hổng mạng thông qua phát triển an toàn, DevSecOps và thử nghiệm để ngăn chặn truy cập trái phép, rò rỉ dữ liệu và khai thác lỗ hổng bảo mật;
iii. Các biện pháp kiểm soát để đảm bảo tính khả dụng cao của các hệ thống quan trọng và các ưu tiên phục hồi hệ thống và phục hồi kinh doanh (bao gồm phân tích nguyên nhân gốc rễ và tác động) để đảm bảo chiến lược phục hồi nhanh chóng cho các hệ thống đó;
iv. Sử dụng các công nghệ như tính toán đa bên và các lược đồ chữ ký ngưỡng để bảo vệ ví lưu ký;
v. Tích hợp các hệ thống ví lưu ký với các hệ thống thông tin khác/Triển khai cách ly mạng giữa Internet để ngăn chặn các kết nối trái phép;
vi. Tách biệt các thành phần khóa mã hóa ví lưu ký để đảm bảo không có cá nhân hoặc hệ thống nào có thể truy cập toàn bộ khóa tại bất kỳ thời điểm nào (tức là tuân theo nguyên tắc "không bao giờ đơn độc", yêu cầu ít nhất hai người được ủy quyền để phối hợp và phê duyệt các hoạt động quản lý khóa).