本集節目中，《Web3 大西進》邀請到勤業眾信（Deloitte）資深執行副總經理陳鴻棋與 XREX 集團執行長黃耀文，共同替各位聽眾解析《持有加密貨幣內部控制制度》指引，拆解傳統資產與虛擬資產在內控上的關鍵差異，也談大型企業與中小企業該如何分頭因應。本文為節目完整逐字稿。

⚠️ 重要聲明：本集逐字稿經由 AI 技術輔助生成，僅供參考。儘管我們致力於維持資料準確性，但仍無法保證文字內容 100% 正確無誤，請以實際節目影片、音檔內容為準。

XREX 集團執行長 黃耀文 Wayne

大家好，我是 Wayne 黃耀文。

主持人｜尤芷薇 Yoyo

大家好，我是 Yoyo。

歡迎收聽這一集的 Web3 大西進。

5 月 29 號，臺灣的證交所發布了兩項重要的指引：穩定幣交易會計處理，和持有加密貨幣內部控制制度，這兩項指引。

上一集我們邀請到了專業的會計師來跟我們分享，企業採用穩定幣在分類還有會計上面應該怎麼樣處理，也就是瞭解第一份指引「穩定幣交易會計處理」帶來的影響跟意義。

這一集想當然，我們要來深入探討第二份這個指引，持有加密貨幣內部控制制度，它到底有什麼樣的影響。

我們先歡迎今天的嘉賓，是勤業眾信 Deloitte 資深執行副總陳鴻棋 Chris。歡迎 Chris！

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

謝謝。大家好，我是 Deloitte Chris。

主持人｜尤芷薇 Yoyo

Chris 他擁有 19 年的企業風險管理還有金融風險管理顧問的經驗，他專注於法遵金融風險、監視調查還有金融犯罪防治等領域。

聽起來很困難，簡單來說就是真的專業的人。

他的工作和企業去採納穩定幣其實也有很深的關聯性。因為無論是你採用穩定幣要去做到合法合規，甚至在你營業、營運的韌性上面、風險的管控，還是說整體公司的治理的制度，都會是非常關鍵的一環。

我們這集節目開始之前，也一樣溫馨提醒：本集節目的內容只是分享一般性的資訊，不會構成任何稅務的建議，實際的財務處理建議要諮詢專業的稅務人員。相關的規則還有稅法規定都有可能隨時更新，所以要以財政部最新的公告為準。

第一題想要問一下 Chris，就是要採用加密貨幣的企業，還有服務企業的 VASP 企業者，就這兩個不同的角色，其實 Wayne 今天也在這裡，其實是第二個我們提到的這個角色，這一份持有加密貨幣內部控制制度的指引，你覺得對他們兩個角色來說，分別最大的意義跟影響會是什麼？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實就先從要採用加密貨幣的企業來說好了。因為其實在還沒有這份指引之前，我相信台灣其實過去也已經有企業從他的客戶那邊收到穩定幣。所以你在收到穩定幣之後，你後續的包括說會計處理、財務處理，這些相關的作業其實已經有在運作的一個機制，只是過往在這一塊因為沒有嚴格的規定，所以變成說我就是依照相關的一個加密貨幣的處理原則來進行。

那以這個指引公佈之後，最大的影響性會在於說：以前只是一個財務處理的一個流程，那我就是去確定把這個帳沒問題，然後我的穩定幣可以去做一個收付，那甚至現在因為會計制度的影響，我可能收到穩定幣之後會想要把它快速的換成法幣，這些流程去做一個處理。那但是在這個指引裡面的規範，我們可以看到他延伸到說，他不只是去看企業如何去經營這個相關的管理的流程，也包括說你未來要怎麼去管理加密貨幣的這件事情。

所以其實它是適度的把它提升到了董事會的一個層級。我們看到說很多的相關的作業，你包括說幣的一些相關的持有的比例，或者說相關的作業，其實很多是要呈報到董事會的。所以我們等於說，他把這個以前只是在單一的業務單位或是財務單位需要去處理，他把它提升層級到了是全公司，甚至是董事會的經營階段，要去做一個一起瞭解的部分。所以在我們的對企業來講，這個會是層級上的一個差異。

那當然對這個 VASP 業者而言，其實我們也會有很多規範。因為在指引裡面其實他有提到說，譬如說他的熱錢包或冷錢包的一個比例，又或者是說他針對如果是托管的第三方，他要求要取得 SOC Report（服務組織控制報告）等等。那其實這間接來講，雖然這份指引他要求的是一般的上市櫃公司的企業，但是對我們 VASP 業者而言，我們等於說就間接的也是要去合規，我們的客戶才放心把他的錢、加密貨幣交給我們。所以這等於說雙重的一個規範，雖然只是一個指引，但等於說不管是在使用者或是服務提供方，都有這層面的一個考量。

主持人｜尤芷薇 Yoyo

Wayne 這邊也想要請問你一下。因為 VASP 業者其實長期以來，包括是自律規範，或者是以前的反洗錢機制等等，包括我們自己內部的機制，其實也都已經做得蠻完整的。但這一份的內容裡面，從您的角度來看，對 VASP 業者來說，有什麼樣的啟發呢？

XREX 集團執行長 黃耀文 Wayne

我覺得這一份就是，他會讓我們整個大環境，大家覺得說，終於比較有明確的遊戲規則。

當然以 XREX 集團來說，我們在台灣有這個鏈科，是一個交易所；我們在新加坡有這個支付機構。其實兩邊我們被要求的，都比這個指引還要嚴格很多。所以對業者來說，其實合法業者我們做的事情已經很習慣，我們的要求也早就被提了很高。

那麼可是呢，對普遍的企業來說，大家還是有一個印象是：這個東西不知道政府有沒有在管，遊戲規則不知道怎麼樣。所以我覺得指引出來，第一個他一定會提升整個生態系裡面，所有的包含企業、包含使用者，還有包含業者的這個程度、他的嚴謹程度，大家會提升的速度會快。

再來呢，以前過往業者碰到的問題是什麼？在早期我們拿到執照的時候，我們其實以前還拿了其他國家的執照都有，可是拿到執照以後，主管機關就說：那你每年要怎麼樣子被外部什麼樣稽核？可是當你去找四大的時候，四大說規則不清楚，我不敢稽核，我不知道要稽核什麼東西，那稽核的標準在哪裡？這些都沒有錯。那你不能去跟主管機關說：欸，我找不到稽核。那主管機關就說：那你造反了。

那這個就是普遍來說沒有 Standard（標準），他就會造成這個情況，所以以前業者比較辛苦。可是現在隨著這樣子大的這些指引、規則，被有公信力的機構公開出來了以後，我覺得對大家來說，以後我們的規則就更清楚了。那我們也希望說以後越來越多的外部稽核單位，他可以來提供這個交易所業者這些外部稽核的服務。

那像以前，比如說走過一開始網路發展了以後，大家就說：哇，你看你們就，這些網路公司收集了那麼多使用者的個資，然後都被駭什麼什麼的。那在那個年代呢，我們做資安廠商，我們要銷售資安產品也不容易。為什麼？因為沒有指引出來，所以我們只能一直去好像說去嚇客戶，說你會被駭，可是指引沒有。那後來怎麼樣？整個提升，就像 PCI DSS（支付卡產業資料安全標準），很多資安的這些規範指引出來了，甚至提升到董事會層級了，那這個時候你會發現說，那個時候我們就瞬間提升得很快。

那後來這個網路上的、線上的刷卡交易這些，也是經歷過這個過程。從一開始大家覺得說：哇，這東西怎麼會這麼多的問題，然後各家被駭，然後這個消費者的信用卡的卡號都到處被流失出去怎麼的。那麼後來也是指引規範這些出來了以後，我們可以看到產業提升得很快，那這件事情就可以比較容易普及化，大家用起來的風險降低。那這邊我看到大概是會是一樣的過程。

主持人｜尤芷薇 Yoyo

綜合 Chris 跟 Wayne 剛才分享的，其實這一份證交所所提供的《持有加密貨幣內部控制制度》的指引，有兩個地方的提升：一個是程度，一個是層級，這兩個的提升其實是非常關鍵的，還有遊戲規則的確立。

那從 Chris 您的實務經驗上面，接觸到的客戶或者是企業，那他們過去在沒有這份指引的時候，持有加密貨幣的實務處理上面，跟這份指引上面所要求的，你覺得差距最大的地方，還有最大的治理缺口跟挑戰在什麼地方？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實我們看這一份指引，它的內容其實會很強調所謂的法幣。因為其實有關加密貨幣的應用，其實大家最擔心的就是，會不會我今天有管理人員，我持有了這個冷錢包的相關的私鑰這些相關資訊之後，然後結果我就不管是跑掉、捲款。捲款，這些相關的議題，應該是大家最擔心的。

所以我們在這份指引裡面，其實它充分的去希望企業可以透過種種的機制去排除掉一個風險。那這裡面包括說，我們裡面可能會有，它沒有辦法任何一個人會獨立的去完成這個私鑰的一個存取，包括說我可能要搭配一些不管是私鑰分片的機制，或者是一些相關的管理的一個對應的機制。所以有關私鑰的管理裡面，其實在指引裡面有很多章節再做一個相關的陳述。

另外還有一點是在於說，它甚至連這個所謂的冷錢包的一個生成，它都要求要有不能只有一個人在場，可能要有多人的一個控管的一個機制，甚至是生成的現場的見證以外，我還要求要有全程錄影。所以等於說我光一個要去註冊一個錢包，我都要有這樣的一個種種的一個配套措施。

所以大家過往可能就是說，我企業要去付這個，我客戶要付穩定幣給我，我可能就是去 create（建立）一個錢包。我 Create 這個錢包的過程當中，它的風控、它的管理到底如何去配套，其實過往是說不清楚的，就企業本身它根據自己本身的一個就風險的一個瞭解去設計相關的關卡。但是有了這份指引之後，其實它就可以很清楚知道說，那我整個流程，甚至它連這個在指引連表單都提供給你的，我就是這些表單我都去依照相關流程的要求去把它做一遍。原則上，應該是至少符合在這個主管機關對、這個監管機關對我們的企業在進行這段業務的時候，需要去符合的一個面向。

另外還有一點就是，其實在這個指引裡面也特別提到，我不僅僅是我要去做這些事情，它充分發揮了所謂的說、寫、做的一個原則，我不只要做，那我做完之後我要去留存紀錄。所以其實在指引裡面有提到說，我的所有的作業應該要去留存至少五年。那五年的規定，可能大家就會思考說，那我這個紀錄應該怎麼留存、留存在什麼地方、用什麼樣的備份備援的機制去保存這些相關的紀錄。那我想這都是大家會更多去思考它的風險性還有安全性，然後讓整個執行的作業可以達到我們的一個更完善的一個目標。

主持人｜尤芷薇 Yoyo

那 Wayne 接下來想要從就是虛擬資產服務商 VASP 業者的角度來看。剛才 Chris 提到的幾個字，像防弊，或者防止大家捲款落跑，這樣這個其實是我們大家好像覺得很熟悉的字跟事情。可是他又有提到，例如說錢包的持有生成，或者是留存這些跟區塊鏈技術相關的，可能有些人又覺得相對陌生。所以在傳統資產跟加密貨幣資產，在內控上面，從您的角度來看，最大的差異點跟困難點在什麼地方？

XREX 集團執行長 黃耀文 Wayne

最大差異點跟困難點，我覺得企業可以看這樣子的一個新的一個事情，把它看做一種技術面的提升。就是說你對區塊鏈金融如果要進入的話，首先就是你要懂這整件事情，這個是一個技術面的全面的提升。

它可以有一點把它想像成說，因為我們在臺灣這種先進國家、金融產業高度發展的國家，我們企業大部分的資產都是放在金融機構托管的。譬如說你的現金、你的有價證券，不論是股票、國債，你都不是放在你自己家有的金庫；甚至你有黃金的話，你也可能是銀行的黃金存摺，對不對？所以我們普遍來說是比較少接觸到說，我自己去托管什麼大量的什麼樣子的資產。

可是區塊鏈金融有趣的也在這邊，就是說它很有金融自主權，或者去中心化的金融的這樣子的 DNA。所以就變成說，你要參與的時候，你要可以有技術、有本事，可以自己去保管你的資產。這個有點像說，我們今天買 10 噸的黃金來，我就是要黃金現貨，我要把它放在我企業裡面的保險箱裡。你不是銀行去買個黃金存摺，你是要 10 噸黃金放在你家，這中間的技術就完全不一樣了。

你怎麼樣子防被人家搶，或者防監守自盜？你買了黃金，黃金是來了，你怎麼確定黃金它的來源是什麼？它有沒有被制裁？它是不是合法被產出、提煉出來的？再來就是說，更何況黃金是還好，你可能說你買了一個全世界最強的保險箱，結果密碼你掉了，那這時候你可能要用炸的把它炸開來。那加密貨幣這問題就更麻煩。

其實全世界的目前挖出來的比特幣，各位，將近有 20%、將近有五分之一是已經死掉了。什麼呢？就是說這個私鑰被大家遺失，這個大概有 370 萬顆到 410 萬顆左右。那這其中當然還有我們的創始者中本聰，他的 110 萬也沒有動了。所以你看五分之一並不是個小的數字。所以這中間，如果說你的私鑰沒有備份好，那他掉了，哇，這個又是另外一個問題。

所以這種種的問題，那還包含就是說，我們這資產轉移，像黃金也是嘛，對不對？黃金 OK，你可以保全公司運來台灣，可是他這個黃金的履歷是不是 OK 的？他有沒有被制裁？他是不是高風險的黃金？你以後要賣的時候是不是賣得掉？所以這個資產轉移，這中間會有很多的相關的法律跟法規的考量。

那麼加密貨幣也是一樣，你買了大量的比特幣或 USDT，你要自己放在公司管，那轉進來之前，你怎麼符合國際反洗錢組織 FATF 的 Travel Rule？還有你怎麼樣去掃描這個——這裡面沒有被制裁的、沒有高風險的、沒有從這個不法產業來的？要不然你覺得你裡面有，對人家會計師 Audit 也說你有，結果你要賣的時候你發覺全部不能賣，你可能還有法律上的問題等等這些。就是所有的，就是大家技術上要去提升的。

主持人｜尤芷薇 Yoyo

剛才 Wayne 講到一個滿關鍵的事情，就是其實我們看到上市櫃公司他就持有加密貨幣，我們通常想的就是他採納了一個新資產。可是因為這一個新的資產，它其實是基於一個新的技術，叫做區塊鏈技術。區塊鏈技術最重要的，也是剛才 Wayne 剛才提到的，第一個是自托管的精神，第二個它是去中心化的帳本，這個和過去其實是非常大的差異。

那在這一份指引裡面，我們可以看到，就是 Chris 剛才也有提到，就是在整個層級的提升上面，不只是會計或者是財務，甚至財務長要知道怎麼樣去做這樣的管理，現在在裡面甚至有提到總經理、董事會，也就是說所有的管理階層的人，其實都必須要瞭解這些所有的事情。

那如果我們看技術面的升級來說的話，用剛才 Wayne 說的話，就是他們要去做區塊鏈技術的升級。但是以前其實企業技術升級的案例是非常多的，例如說網路可能是一個，或者他們導入了 ERP 系統，或者是電子支付，然後雲端系統這些，其實企業都有這樣子的經驗，然後去做新的管理制度的設計。那從您的角度來看，如果是單純就加密貨幣這部分的內控，和企業過去這些無論是資產或者是技術上面的升級，有什麼異同的地方嗎？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實我們觀察所有新興科技的一個演進，大家都會看到類似的一個治理的一個方向。譬如說過去在大數據或者是雲端在發展的時候，都是屬於技術先行，技術已經到位了，那包括整個產業也已經開始在應用技術。所以觀察到說，那我使用這個技術可能衍生出一些對應的風險，或是衍生出一些管理的一些議題，所以在很多的國家，可能在監理的這個維度就會有產業的一個自律。

那產業自律之後，因為畢竟在整個法令法規的一個訂定，它需要一個時間去做一個完成，所以就會有所謂的這個，在這個監理的一個業務，我先有技術，然後有產業監理，然後再來我會有法令法規。那其實我們觀察很多的新興科技的發展，都是循這樣的一個脈絡在進行。

包括說最近這個 AI 的部分，我們 AI 的部分在台灣而言，我們也是一樣就是技術，可能在 2022 年、2023 年就已經有這個生成式 AI 的一個普及的一個應用。那接下來呢，包括像以台灣為例，我們政府就有一套供政府機關使用的生成式 AI 的這個相關的使用指引，那甚至在金融業就有所謂的 AI 的這個管理的一個原則，那這個都是屬於產業的一個監理跟自律。那所以演變到了現在，我們還有一個 AI 基本法，有一個法律的一個規定。

所以我們也預期，在這個區塊鏈跟這個虛擬資產這樣的一個領域，我們也是屬於——因為過往如同剛剛提到的，從中本聰開始，我們已經有這個比特幣的一個應用，然後再延伸到很多的這個區塊鏈的技術 DLT（分散式帳本）的一個應用，然後再到我們的這個很多的 DeFi 的一個應用，其實整個產業的應用是很蓬勃的。

那在產業蓬勃的應用過程之中，我們就會有所謂的這個產業的監理。比如說我們今天討論的這兩份，包括說證交所這邊，還有這個相關的這個主管機關這邊共同去發布的，有關持有加密貨幣內部控制制度的指引，又或者是會計制度的這個指引，其實都是屬於我們在這個針對特定的產業或特定的這個對象所訂定出來的一個監理的一個參考。

但是我們也預期，尤其是這兩天剛好我們的這個從立法院這邊也傳出很好的消息，就是說我們的虛擬資產服務法其實也即將有機會在今年就去做一個這個三讀通過的一個進展。所以其實我們觀察到這個相關的一個脈絡，大概會是從這個從技術先行，然後產業監理，然後再來是法令法規。到了法令法規這個階段，我們整個這個管控的一個原理原則就會更完整，然後讓這個不管是各個不同類型的一個企業或是角色，他都會找到自己的定位，還有他可以去執行的一個重點。我想這是我們也是樂觀看待，未來在整個這個虛擬資產還有區塊鏈的產業在發展的時候，大概會循這樣的一個脈絡去做一個有效監理的一個方向。

主持人｜尤芷薇 Yoyo

對。那照剛才 Chris 你提到的，其實他整體來說，就是是一個產業或者是使用者相對邁向更成熟的環境跟更成熟的使用方式的一個進程。那這份指引其實我們看到，他不只是建立管理或者是控制的系統，他裡面涉及很多的人或者是部門，那也就是說涉及人，我們就在會討論到建立一個思維或者是治理文化的一個過程，他不只是一套制度這樣子。那目標當然像剛才 Chris 提到的防弊，或者是希望可以在這個過程當中把風險降到最低這樣子。

所以也想要請問一下 Chris，就在這份指引裡面，如果我們真的要講思維跟文化轉變的話，從您的經驗，您覺得現在企業在採用加密貨幣的內控上面，最急迫的轉變會是什麼呢？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實我們大概是秉持著剛剛提到，就是這是一個提升層級的一個公司治理的管控，所以其實對企業而言，他在公司治理的一個思維會是需要去改變的。那這裡面包含說，我不僅僅是在這些指引對應的配套措施裡面，其實就有提到說，我不管是今天的加密貨幣的管理人員，又或者是財務單位的人員、會計單位的人員，我這些所有的配套措施，甚至稽核人員，我都要去知道說，我的整個未來的一個業務流程，包括說我的審核的程序，什麼時候我應該要在要通報到主管、通報到這個甚至總經理跟董事長。

甚至是我在所有的交易的行為，不只是我持有買賣，也包括說我的收付，其實都有配套的一些流程需要去因應。那甚至是我的持有的加密貨幣，我的這個市值如果說有任何的一個影響性的話，我也要後面的配套措施。

所以對企業而言，我覺得這個思維跟文化主要是來自於說，我們就會有一個完整的一個制度，然後來因應我們在所有的加密貨幣的一個使用的一個過程。那我們也預期說，在這整個使用的規範越完整，那其實未來不管是我的客戶、下游的客戶，他提到說他要支付穩定幣或是他的貨款，可能可能 50/50，50 要付法幣、50 要付穩定幣，那我們都有，這個不管是在傳統金融，或者是說在區塊鏈的一個金融裡面，我們都可以去承接客戶的一個需求。那也期望說，未來在這種不管是跨境的收付，甚至是 for 未來，甚至是在這個企業本身的在資產配置，都可以有多了一個工具可以去做更多的一個使用。

主持人｜尤芷薇 Yoyo

剛才 Chris 提到，就是說整家公司裡面，大家可能都要開始理解，就是整個流程，或者他要怎麼樣處理，然後他要怎麼樣申請，他要怎麼管控。某種程度上聽起來這份指引，很像是上市櫃公司的所有人的加密貨幣基礎教育的開始，就是他會涉及所有的層級，他不是只有公司一小部分的人需要去瞭解的事情。只要上市櫃公司決定要開始採納的時候，其實整家公司都必須要動起來，才能夠去完善這一套治理的措施。

那相信接下來 Chris 也會有很多的客人、有很多的企業會開始向您諮詢，就是那這個制度要怎麼樣去建立。可是我們看到上市櫃公司，其實它還是有分比較大型的上市集團，當然裡面還是有中小型的企業。那從您的專業來說話，如果今天有大型的上市公司跟一家中小型的企業來詢問您，依照這個指引的話，您會分別給他們什麼樣不同的建議嗎？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實如果是比較大型的上市公司，這表示說他平常的業務量還有金流的，應該都是頻率會更高，然後量體會更大。所以對於這樣的企業，我們會建議其實他應該要去建立一套完整的管理的機制。那這裡面甚至是說，不管是說我在做未來我要去使用錢包的評估，以及說我在這個，剛提到我內部的這些說、寫、作流程的建立，甚至是我在技術面，我的這個相關的一些資安的一些評估控管的部分都需要做到位，可能就會需要去建立一個比較完整的一個架構。那這個架構也是可以支撐企業他在我們未來的一個長期發展的一個策略方向，他可以有一個配套的一個機制。

那這裡面可能就包含說，其實我們的這個一家大型的這個上市櫃公司，他未來到底是會自己去持有他自己自持的這個冷錢包或者熱錢包，還是說就會有這個配套的這個托管錢包。那其實我們目前初步的評估跟瞭解，應該大部分企業還是會選擇有一個這個可靠的這個合作夥伴。當然這個合作夥伴在未來虛擬資產服務法通過之後，他有可能是現在的 VASP 業者，也有可能是金融機構經營的 VASP 業者，這都 OK。

那重點是說，他可能就會涉及到說，我不是單純的在我企業內部流程的管理是一個重點，可能也包括說我的這個第三方的評估我應該如何去做有效的進行。那這裡面就包括說，那我的這個相關的一個牌照，我要去委託的對象，他的牌照的業務是不是能夠支持我去跟他做一個合作。那牌照本身就是一個，依照現在的虛擬資產服務法是許可制，可能就要有蠻多的一個申請的一個過程。

那除了牌照以外，可能也包括說，我們會要有這個所謂的 SOC Report。其實目前依據這個參考指引裡面，他是提到說，針對 VASP 業者應該要有這個 SOC 1 的一個 Report，這比較偏向一些這些業者他本身的財務狀況，這些相關是有經過第三方的一個核實跟驗證。那但是其實目前在，如果以金融機構，或是說目前在這個托管的業務，如果我們有本身去執行這個保管業務，其實一樣，我們也要去通過這個所謂的 SOC Report，是比較偏向這個資訊安全的一個面向。所以等於是說，其實不管你是從這個財務面的角度去思考，或是從這個資安的一個角度去思考，應該都要做到符合一定層級的這個管控，那我們的這個大型企業、大型的上市櫃公司才會有那個信心把他的資產放在我們這邊。

那當然這裡面還涉及到說，因為畢竟有涉及到委託關係，那如果說不管是哪一方，如果未來有這個破產的可能性，那到底委託在我們這邊的資產，他的這個優先序，還有就依據法律規定的一個順序應該如何去做一個分配。那我相信這都會是我們的這個企業客戶他會很關注的一個議題，那也是身為大型的上市櫃公司，他在做一個廠商遴選的時候，這些應該都是被列進去所謂的這個 VASP 廠商的 DD，或是這個廠商的條件，應該都是要去進行這個對應的一個檢核。

那還有最後一個很重要的就是保險。因為其實保險在這個虛擬資產保險，分成很多不同的面向，包括說現在大部分人提到的可能是有關資安層級的一個保險，那甚至是也涵蓋說，那這個保險我們是保險譬如說是 SaaS 的雲端服務版本，還是說未來，其實有很多的 Custody 的廠商可以協助這些 VASP 業者或金融機構去建 On Premises 的這個地端的這些相關的一些設備，那我的保險涵蓋的範圍、Coverage 的範圍還有額度等等，這些可能都是我們可以去思考的。所以等於說在上市，這個大型的上市櫃公司裡面，他在不只是自己的公司治理的層面，也包括說我們在第三方治理的層面，都需要做到位，去做一個比較完整的一個評估。

那另外剛剛提到說，對中小型的一個企業，其實中小型的企業，我們大概會建議說，以 Minimal 的一個 Requirement，至少在目前參考指引裡面所訂的這些所有的流程，還有所有的這些管理的機制，可能要做到位。那所以不管是你在這個，你可能要劃定一個組織，這個組織或是一個角色，它是有權限針對加密貨幣的這個管理去做這個對應的一個角色跟權責的一個設置。那甚至是對說，我未來的實際的 BAU（企業營運），這些虛擬資產的一個應用，我在財會單位、稽核單位，我的彼此的一個配合的 INR，還有未來更重要的是，我們在公司內部的稽核人員，他要有那個能量跟這個能力去稽核說，我們的這所有整體的一個運作的過程是不是有符合這個參考之一的一個規定。

所以大概針對比較大型的上市公司，我們會建議用一個比較完整的治理的框架，將我們的內部跟第三方的這個管理的機制都去做一個妥善的一個部建。那但是針對中小型的企業，可能就我們可以協助梳理，針對這個參考指引裡面所列的這些必要的項目，來檢核我們的這個實際的作業流程是否都已經合規。我想合規會是一個最基本的一個門檻。那這是目前對上市公司還有對這個中小企業所做的一個不同的一個建議。

主持人｜尤芷薇 Yoyo

那照剛才 Chris 說的，其實不只是他們自己上市櫃公司他的內部的控管制度，其實他跟外部的合作夥伴，像您剛才提到的他的 DD，他要多瞭解他的夥伴，或者是他的夥伴要符合哪一些規範，其實現在也變得非常的重要。

那台灣目前有 8 家已經通過金管會登記制的業者，那當然 XREX 交易所，也就是剛才 Wayne 說的 XREX 集團在台灣的這個鏈科——也是其中一家，那相信未來也有機會去跟很多的企業去做合作。

那這邊想要請問一下 Wayne，就是說您覺得這份指引裡面，因為剛才 Chris 用了好多的語言，我發現其實是很多企業現在在使用的語言——那您覺得這個指引還有這樣子的理解的框架，會不會有助於交易所跟 VASP 業者跟企業去對接？因為那個指引裡面的語言，還有我們剛才在討論的，似乎看起來一致性是有越來越高的。

XREX 集團執行長 黃耀文 Wayne

我覺得這個就是整個生態剛講的技術提升的一個過程。像我舉一個例子，指引裡面很強調各種的白名單。白名單聽起來很簡單的一個概念，但它很有用。

譬如說我們設定白名單說，什麼錢包可以轉資產過來我們企業。那這個很重要：是第一個，我平常就只有跟這幾個企業有互動，那我都知道這幾個企業的錢包是什麼地址，我也知道這幾個企業是誰。那這個第一個，我把這白名單設好，只有這些企業能轉資產過來，我就符合 FATF Travel Rule，我也降低了這個我收到不明資產然後高風險資產的這個機率。

那麼我轉出去，假設我平常轉資產，我就是只是固定會轉到某某銀行的託管、國內交易所的錢包，我也把它設定好。那這個轉出去的白名單，它就降低了什麼？降低了我譬如說裡面監守自盜，把我的資產轉到哪裡去，或者我被駭客入侵了，哇，駭客把我的東西轉到哪裡去。那所以白名單是一個很有用的概念。

可是在執行的時候，它就會有很多的細節。第一個，譬如說我們企業，我們今天說那我要擁有、我要自己管理這個加密貨幣資產、虛擬資產，我至少要先有一個錢包。好，那這個時候，這個錢包就要讓你可以設定這些白名單，對不對？可是通常你去研究錢包你就會發現說，那我設定了這些白名單，可是萬一我的管理者的密碼被駭客盜取了，他直接登入進去這個錢包的軟體，然後去改我的白名單，我有設等於沒有設。

所以一般的比較是企業級的這個錢包廠商，他的白名單機制他會另外設計。什麼意思呢？就是說白名單，他是錢包業者那邊——主要他資料存在錢包業者那邊，然後你要去更改白名單，錢包業者做某種程度的把關。所以並不是說你自己這邊的這個 IT 主管整個被入侵了，那你就可以連到系統裡面去修改白名單，因為錢包廠商這邊他做第二層的把關。

那麼如果是這樣子的話，那麼也就表示說，如果我們這個企業所有系統都被入侵了，那麼這個時候駭客想要把——透過我們的管理界面、透過他拿到我們的私鑰，把這個突破我們白名單限制，把資產轉到駭客錢包的時候，錢包業者要幫我擋下來。因為我全面被入侵了，但錢包業者沒有被入侵，這多一道關卡。那就表示什麼？通常在設計上，他就會用多簽的架構，變成說可能有兩把分片在我們企業這邊，有一把分片在錢包業者那邊。所以錢包業者看到不符合白名單規則的時候，錢包業者就他那個分片不簽。那不簽的話，如果這個交易是被一個外部入侵者所觸發的，錢包業者那邊就不簽。

那聽起來這是多一層保護，整個白名單的機制做得更好。可是那你想想問題是什麼？問題就是說，萬一這個錢包業者把那一片分片掉了，或者他的資料毀了，那我的資產不就永遠凍結起來了，永遠沒有辦法移動了。那這時候都怎麼辦呢？這個時候錢包業者通常他就會出一個功能，叫做 Recovery Kit。就是說萬一我們錢包業者整家被掛掉了，整個資料庫被毀了、被外部惡意的攻擊毀掉了或什麼的時候，至少當時我們有下載這個 Recovery Kit，那我可以用 Recovery Kit 就可以把所有分片都 Recover 回來。

這樣聽起來好像就可以避免，可是那對錢包業者來說又有問題。可是我給你這個 Recovery Kit，你 Recovery Kit 被駭客偷走了，那他就有你所有的分片，那他到時候就把你的資產轉走，然後你又來怪我說我沒有把關你的白名單。所以那這怎麼辦呢？通常他的 Recovery Kit，譬如說就雙方協議放在某律師的保險箱，那你要去動用 Recovery Kit 的時候，要透過律師去動用。那律師——你要跟律師簽約說，律師如果把這個 Recovery Kit 從保險箱裡交給你，那從交給你的那一刻，錢包廠商就不負責你的白名單有沒有被篡改的，因為他把所有的這個分片都給你了。

就這些很多的細節，就是光選一個錢包就這麼多的細節，那這個就是每一個企業他要慢慢去瞭解。

主持人｜尤芷薇 Yoyo

從剛才 Wayne 的分享，我們可以發現光是這個指引裡面我們看到很簡單的三個字「白名單」，其實他後面就有很多的知識。所以當上市櫃公司真的要採用加密貨幣的時候，其實像 Chris 這樣子的那個專業的顧問就非常重要，就是說他怎麼樣建立這個制度，還有怎麼樣建立這個系統。那他的合作夥伴也會非常重要，像剛才 Wayne 其實分享了很多身為虛擬資產服務商，我們知道的很多的深入的知識，還有可以分享的一些經驗，其實這個對於上市櫃公司來說也會很關鍵。

那在節目最後，我也想要問一下 Chris，因為您剛才有提到有好消息，就是 6 月 3 號的時候，虛擬資產服務法他已經出了立法院的那個財政委員會，那很有希望是在 8 月立法院這次的議期結束之前他可以通過。那我們看到還在審議的過程當中，證交所先出了這兩份指引，一個是《穩定幣的交易會計處理》，另外一個就是我們今天主要在這一集裡面討論到的《持有加密貨幣內部控制制度》，這兩份指引。

那我們看到還有一個新的消息是說，金管會的銀行局有透露，已經要求銀行公會去研議《虛擬資產保管實務指引》，那預計是 9 月底或者是 10 月初會去出爐這樣。那我想要問一下，就從您的專業角度怎麼看這樣子的節奏，也就是說在專法出爐之前，這樣很多的指引一直的公佈，是要扮演什麼樣的角色呢？

勤業眾信 Deloitte 資深執行副總經理 陳鴻棋 Chris

其實在專法公佈之前，指引可以先為目前的一些空窗期去做一個最佳實務的一個見解。所以其實目前大概有幾條線在同時進行：包括說以證交所，它是針對站在使用者的角度，那在使用者的角度，包括說上市櫃公司，其實就會有一個參考的一個做法；那另外其實目前在這個銀行局這邊，也有針對未來的金融機構要兼營這個 VASP 的部分，也有在訂定這個對應的一個規範，如同剛剛所提到的，包括實務的這個指引；那另外其實證期局也針對我們的這個相關的服務方，包括現在 VASP 業者，也都有對應的一個相關機制。所以其實由我們的這個三個主管機關、三個不同的服務提供，還有使用者的一個角度，等於說在專法公佈之前，我們可以先把這個地基打好。那在地基打好的這個前提下，其實我們就可以在迎接專法的這個到來，我們就可以比較無痛去做一些接軌。

所以其實對這個相關的一個指引先行的部分，大概會可以有幾個效益。第一個是可以降低不確定性，就讓市場這邊及早知道說，那其實我們至少有一個可以遵循的一個方法、一個遵循的節奏，是可以去做一個參照的。那另外還有一個就是說，我們為了專法可以去做一個，等於說先行去做一個驗證，說那未來如果真的專法上路，會不會其實企業會哀鴻遍野做不到。那其實透過我們現在的參考指引就可以知道說，其實是有一個可以先去做一個類似 POC 的一個效果，那我們就可以讓這個企業方，或是 VASP，或是銀行兼營 VASP，都可以在這個階段就可以有這樣的一個類似示範的一個效果。

那再來是，針對我們的這個建立一個自律的一個文化，其實過去主管機關也很鼓勵說，不管是 VASP 業者或是金融機構，如果說有任何跟這個虛擬資產相關的一個業務，都很歡迎來做一個試辦。那在這試辦的過程當中，其實我們的指引就發揮了很重要的一個功效，我們可以有一個一定的程度來支撐我們試辦的一個不管是它的安全性、風險性和規性，都可以有一個參考的一個重點。

所以其實透過這幾個不同的一個層面，我們大概就可以去定位說，這個所謂的指引先行，然後我們的最後專法的這個立法的一個節奏，其實是會蠻適合我們在現在的所有的新興科技推展的一個進度。

主持人｜尤芷薇 Yoyo

我們今天非常謝謝 Wayne，也非常謝謝 Chris 來跟我們分享這個非常專業的一個見解。那我們也希望上市櫃公司接下來採用穩定幣還有採用加密貨幣可以更無痛一點。那當然像 Chris 這樣這麼重要的顧問，然後 Deloitte 這樣子這麼專業的顧問，一定是大家可以參考的。那我們謝謝 Chris 也謝謝 Wayne。

那如果你喜歡我們的節目的話，歡迎在下面按讚、留言、分享，也開啟小鈴鐺。有任何的想法的話，也歡迎在下面留言讓我們知道。那我們就下一集再見囉，拜拜！