Elektroninių pinigų ir mokėjimo įstaigų valdymo sistema: kas naujo laukia 2021 m.

Pastaruoju metu elektroninių pinigų ir mokėjimo įstaigos (kartu – „Įstaigos“) sulaukia vis akylesnio Lietuvos banko dėmesio. Natūralu – ženkliai padidėjus rinkos dalyvių skaičiui, priežiūros institucija, siekdama suvaldyti galimas rizikas, nustato griežtesnius reikalavimus Įstaigų valdymo sistemai.

Nuo 2021 m. įsigalios Lietuvos banko valdybos 2020 m. liepos 23 d. nutarimu Nr. 03-106 patvirtinti Elektroninių pinigų įstaigų ir mokėjimo įstaigų valdymo sistemos ir gautų lėšų apsaugos reikalavimų aprašo („Aprašas“) pakeitimai. Pakeitimų pakankamai daug, todėl turėtumėte nedelsti ir pradėti įgyvendinti juos savo Įstaigoje jau dabar.

Kokie svarbiausi Aprašo akcentai?

1. Įstaigos organizacinė struktūra turi būti aiški.

• Patvirtinkite išsamią Įstaigos organizacinę schemą, kurioje pavaizduotas kiekvienas struktūrinis vienetas ir už jų veiklą atsakingi asmenys.
• Parenkite ir patvirtinkite Įstaigos vadovo, valdybos ir stebėtojų tarybos (jei ji sudaryta), Įstaigos padalinių ir darbuotojų funkcijų, atsakomybės ir atskaitomybės aprašus.
• Parenkite ir patvirtinkite su Įstaigų tarpininkų veikla susijusius dokumentus: tarpininkų sąrašą, tarpininkų atrankos politiką, jų mokymų organizavimo tvarką bei stebėsenos procedūrų aprašą, jeigu Įstaiga pasitelkia tarpininkus paslaugoms teikti.
• Paruoškite ir patvirtinkite asmenų, kuriems perduotos veiklos funkcijos, sąrašą, atrankos politiką ir šių asmenų veiklos kontrolės tvarką, jeigu Įstaiga perduoda veiklos funkcijas kitiems asmenims. Atkreipiame dėmesį, kad yra parengtos ir derinamos Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklės, kurioms ateityje reikės vadovautis.

2. Įstaigos valdymo sistema turi būti patikima.

• Periodiškai atnaujinkite informaciją apie Įstaigos vadovų reputaciją, žinias, įgūdžius ir patirtį savo pareigoms vykdyti.
• Įvertinkite, ar paskirti Įstaigos vadovai turi galimybių skirti pakankamai laiko vykdyti savo funkcijas.
• Įvertinkite, ar bendra valdybos ir stebėtojų tarybos (jeigu pastaroji sudaryta) kompetencija yra pakankama suprasti Įstaigos veiklą ir prisiimamą riziką.
• Įsitikinkite, kad jūsų Įstaigoje yra paskirti už kontrolės funkcijas atsakingi asmenys, t. y. atsakingi už: (1) rizikos valdymą; (2) teisės aktų ir Įstaigos vidaus dokumentų atitiktį (įskaitant atitiktį pinigų plovimo ir teroristų finansavimo prevencijos reikalavimams; (3) veiklos funkcijų perdavimo kitiems asmenims rizikos valdymą ir priežiūrą; (4) vidaus audito organizavimą. Vienas asmuo gali būti atsakingas už kelias kontrolės funkcijas, išskyrus vidaus audito organizavimą. Svarbu žinoti, jog Įstaigos valdybos nariai taip pat gali būti atsakingi už kontrolės funkcijas, jeigu tinkamai valdoma dėl interesų konflikto kylanti rizika.
• Įsitikinkite, kad Įstaigoje parengti ir patvirtinti vidaus dokumentai, įgyvendinantys pinigų plovimo ir teroristų finansavimo prevencijos reikalavimus, nustatytus pagal Finansų rinkos dalyviams skirtus nurodymus, kuriais siekiama užkirsti kelią pinigų plovimui ir (arba) teroristų finansavimui.
• Peržiūrėkite, ar nustatytos pakankamos informacinių ir ryšių technologijų bei saugumo rizikos valdymo procedūros ir priemonės pagal Operacinės ir saugumo rizikos valdymo reikalavimų mokėjimo paslaugų teikėjams aprašą.
• Pasirenkite duomenų, susijusių su veiklos rezultatais, operacijomis, sukčiavimais, katalogą.
• Pasirenkite ir pasitvirtinkite apskaitos procedūras, skirtas finansinei informacijai tvarkyti ir ataskaitoms sudaryti.
• Įstaigoje įdiekite veiksmingą informacijos apsikeitimo sistemą, leidžiančią horizontaliu ir vertikaliu valdymo lygmeniu laiku gauti informaciją; pasirenkite informacijos, kuria keičiamasi įstaigoje, registrą. Registre turėtų būti nurodoma bent teikiamos informacijos turinys, ją rengiantys ir ją gaunantys asmenys bei informacijos teikimo periodiškumas.
• Nepamirškite reguliariai testuoti ir bent kartą per metus atnaujinti veiklos planą bei dokumentuoti testavimo rezultatus.

Svarbu ir tai, kad Apraše didesnės atsakomybės priskirtos Įstaigos valdybai: ji reguliariai privalo aptarti įstaigos veiklos strategijos įgyvendinimą; priimti sprendimus apsvarstant ir įvertinant visą su priimamu sprendimu susijusią informaciją; užtikrinti, kad įstaigos darbuotojai būtų tinkamos kvalifikacijos ir nepriekaištingos reputacijos; užtikrinti, kad įstaigos finansinė ir kita informacija būtų patikima, tinkama ir laiku teikiama priežiūros institucijai ir kt.

3. Nustatyta Įstaigos vidaus kontrolės ir rizikos valdymo sistema.

Parenkite ir pasitvirtinkite Įstaigos rizikos valdymo strategiją, apibrėžiančią rizikos mastą, kiekvienos rizikos rūšies limitus ir vidines procedūras rizikoms identifikuoti, vertinti, stebėti, mažinti ir kontroliuoti.

Užtikrinkite, kad Įstaigos rizikų žemėlapis valdybai būtų pateikiamas bent kartą kas ketvirtį, o kartą per metus – metinė rizikos valdymo ataskaita.

Formuokite tokią Įstaigos kultūrą, kurioje darbuotojai nebijotų informuoti vadovų apie netinkamą rizikos valdymą.

Nustatykite vidaus procesus, užtikrinančius reguliarų vidaus kontrolės ir rizikos valdymo sistemos vertinimą ir nustatytų trūkumų šalinimą.

4. Įstaigoje yra organizuojamas vidaus auditas, jeigu Įstaigos pagrindinė veikla yra finansinių paslaugų teikimas.

5. Įstaigoje turi būti įgyvendinami gautų klientų lėšų apsaugos reikalavimai: Įstaigos valdyba turi patvirtinti ir reguliariai peržiūrėti vidaus tvarkas, nustatančias klientų lėšų apsaugos procesą, lėšų apskaitos ir kontrolės procedūras laikantis Apraše nustatytų reikalavimų.

Aiški Įstaigos organizacinė struktūra, apibrėžtos valdymo organų, padalinių ir darbuotojų funkcijos ir atsakomybės, periodinis Įstaigos strategijos ir rizikos valdymo peržiūrėjimas ir įvertinimas sudaro gerą Įstaigų valdymo sistemos pagrindą, tačiau iki Aprašo atnaujinimo šie reikalavimai nebuvo taip detaliai išdėstyti. Ir nors Aprašas įsigalios nuo 2021 m. sausio 1 d., siūlytume jau dabar įsivertinti, galbūt jūsų Įstaigoje reikalingi pokyčiai, kad atitiktumėte priežiūros institucijos reikalavimus.