Vidaus auditas finansų įstaigoms ir „Fintech“ sektoriui

Pagal Lietuvos banko valdybos patvirtintą Aprašą dėl elektroninių pinigų įstaigų ir mokėjimo įstaigų valdymo tvarkos, vidaus kontrolės sistemos ir klientų lėšų apsaugos reikalavimų (Lietuvos banko valdybos 2009 m. gruodžio 30 d. nutarimas Nr. 247) (toliau – Aprašas), finansų institucijoms ir kitiems įpareigotiesiems subjektams nustatyta pareiga užtikrinti veiksmingą vidaus kontrolės sistemą, nepriklausomą vidaus auditą bei tinkamą rizikų valdymą (Aprašo 46 – 58 punktai).

Kas yra vidaus auditas?

Vidaus auditas yra viena svarbiausių vidaus kontrolės sistemos dalių, padedanti įvertinti, ar įstaigos veikla vykdoma saugiai, efektyviai ir laikantis teisės aktų reikalavimų. Lietuvos bankas tikisi, kad vidaus audito funkcija būtų nepriklausoma, objektyvi, turėtų pakankamus išteklius bei galėtų nevaržomai vertinti visas įstaigos veiklos sritis.

Vidaus auditas nėra tik formalus reguliacinis reikalavimas. Tinkamai vykdoma vidaus audito funkcija padeda organizacijai laiku nustatyti veiklos, valdymo, kontrolės, AML/CFT, ICT, duomenų apsaugos ar kitų sričių trūkumus, įvertinti rizikas bei stiprinti organizacijos valdymo kokybę.

Kodėl finansų įstaigoms reikalingas vidaus auditas?

Vidaus auditas suteikia nepriklausomą vertinimą, ar įstaigos procesai ir kontrolės priemonės veikia taip, kaip numatyta vidaus dokumentuose ir reguliaciniuose reikalavimuose. Praktikoje dažnai nustatoma, kad procedūros egzistuoja dokumentuose, tačiau nėra pilnai įgyvendinamos kasdienėje veikloje.

Vidaus auditas taip pat padeda:

• nustatyti kontrolės spragas prieš reguliacinį patikrinimą;
• įvertinti veiklos procesų efektyvumą;
• stiprinti rizikų valdymo sistemą;
• įvertinti, ar įstaiga turi pakankamus žmogiškuosius ir technologinius išteklius;
• padėti valdymo organams priimti pagrįstus sprendimus;
• užtikrinti didesnį skaidrumą ir atskaitomybę organizacijoje.

Nepriklausomas vidaus auditas leidžia objektyviai įvertinti situaciją ir identifikuoti problemas anksčiau, nei jos tampa reguliacinių veiksmų, reputacinės žalos ar finansinių nuostolių priežastimi. Vidaus auditas taip pat padeda valdymo organams užtikrinti, kad vidaus kontrolės sistema būtų tinkama įstaigos veiklos pobūdžiui, mastui ir rizikoms.

Kodėl ECOVIS? Profesionalus požiūris į vidaus audito paslaugas

Teikdami vidaus audito paslaugas orientuojamės ne tik į dokumentų peržiūrą, bet ir į faktinį kontrolės priemonių veikimą praktikoje. Mūsų tikslas – pateikti praktiškai pritaikomas rekomendacijas, kurios padėtų stiprinti organizacijos kontrolės aplinką ir atitiktį reguliaciniams reikalavimams.
Turime reikšmingą patirtį dirbant su elektroninių pinigų ir mokėjimo įstaigomis, taip pat padedant organizacijoms pasirengti Lietuvos banko patikrinimams bei įgyvendinti reguliacinių institucijų rekomendacijas.

Būdami tarptautinio „ECOVIS“ tinklo, veikiančio daugiau nei 90 šalių visame pasaulyje, dalimi, mes deriname gilią vietinės reguliacinės aplinkos supratimą su globalia ekspertize. Tai leidžia užtikrinti, kad jūsų įstaigos procesai atitiktų ne tik Lietuvos banko reikalavimus, bet ir aukščiausius tarptautinius standartus bei geriausias globalias praktikas.

Kokybės užtikrinimo (QA) paslaugos AML/CFT ir atitikties srityje

Kokybės užtikrinimo funkcija (Quality Assurance) padeda organizacijai reguliariai vertinti, ar kasdieniai AML/CFT, sankcijų ir kiti atitikties procesai vykdomi tinkamai, nuosekliai ir laikantis vidaus procedūrų bei teisės aktų reikalavimų. Lietuvos banko valdybos patvirtintas Nutarimas Dėl Finansų rinkos dalyviams skirtų nurodymų, kuriais siekiama užkirsti kelią pinigų plovimui ir (arba) teroristų finansavimui (Lietuvos banko valdybos 2015 m. vasario 12 d. nutarimas Nr. 03-17) (toliau – Nutarimas) nustato reikalavimą vidaus kontrolės sistemos elementų atitiktį teisės aktams ir jų taikymo veiksmingumą ir efektyvumą vertinti nuolat – darbuotojams atliekant kasdienes funkcijas (Nutarimo 70 punktas).

Kuo vidaus auditas skiriasi nuo kokybės užtikrinimo paslaugos (QA)?

• Vidaus auditas vertina bendrą kontrolės sistemos tinkamumą ir efektyvumą periodiškai.
• Kokybės užtikrinimas (QA) yra orientuotas į nuolatinę veiklos kokybės priežiūrą ir praktinį procesų veikimo vertinimą.

Kodėl kokybės užtikrinimo (QA) funkcija yra svarbi FinTech sektoriui?

QA padeda organizacijai:

• anksti nustatyti praktines procesų vykdymo klaidas;
• užtikrinti vienodą procedūrų taikymą;
• gerinti darbuotojų darbo kokybę;
• identifikuoti papildomų mokymų poreikį;
• mažinti reguliacinę ir reputacinę riziką;
• užtikrinti nuolatinį kontrolės aplinkos tobulinimą.

Finansų sektoriuje reguliatoriai vis daugiau dėmesio skiria ne tik politikų ir procedūrų egzistavimui, bet ir tam, kaip jos veikia praktikoje. Dėl šios priežasties QA funkcija tampa svarbia efektyvios kontrolės sistemos dalimi.

Kokias sritis gali apimti kokybės užtikrinimo (QA) peržiūros?

• klientų tapatybės nustatymo (KYC/CDD) procesus;
• sustiprinto patikrinimo (EDD) procesą;
• dalykinių santykių, operacijų stebėseną (TM);
• sankcijų, PEP ir adverse media pranešimų peržiūrą;
• vidinių tyrimų kokybę;
• įtartinų operacijų pranešimo (SAR) procesą;
• klientų rizikos vertinimą ir kt.

Kodėl ECOVIS? Profesionalus požiūris į kokybės užtikrinimą (QA)

QA paslaugas teikiame taikydami rizika pagrįstą ir praktinį požiūrį. Vertiname ne tik dokumentaciją, bet ir realų procesų vykdymą, darbuotojų priimtus sprendimus bei kontrolės priemonių veiksmingumą praktikoje.

Mūsų tikslas – padėti organizacijai užtikrinti aukštą veiklos kokybę, stiprinti kontrolės aplinką ir pasirengti augantiems reguliaciniams lūkesčiams.

AML/CFT ir tarptautinių sankcijų rizikos vertinimas (EWRA) finansų įstaigose

Pinigų plovimo, teroristų finansavimo ir tarptautinių sankcijų rizikos vertinimas (Enterprise-Wide Risk Assessment – EWRA) yra vienas pagrindinių AML/CFT sistemos elementų, kurio reikalauja tiek Lietuvos bankas, tiek tarptautiniai standartai ir gerosios praktikos. Šis reikalavimas yra įtvirtintas tiek Lietuvos Respublikos Pinigų plovimo ir teroristų finansavimo prevencijos įstatyme (priimtas 1997-06-19, Nr. VIII-275) (toliau – Įstatymas), tiek Lietuvos banko valdybos patvirtintame Nutarime Dėl Finansų rinkos dalyviams skirtų nurodymų, kuriais siekiama užkirsti kelią pinigų plovimui ir (arba) teroristų finansavimui (Lietuvos banko valdybos 2015 m. vasario 12 d. nutarimas Nr. 03-17) (toliau – Nutarimas). Nutarimo 28 punktas numato, kad „FRD privalo užtikrinti, kad FRD visos veiklos pinigų plovimo ir teroristų finansavimo rizikos vertinimas būtų atliekamas, peržiūrimas ir atnaujinamas reguliariai, bet ne rečiau kaip kartą per metus ir (arba) įvykus reikšmingiems pokyčiams.“

EWRA tikslas – nustatyti, įvertinti ir suprasti rizikas, su kuriomis organizacija susiduria vykdydama savo veiklą, bei užtikrinti, kad taikomos kontrolės priemonės būtų proporcingos identifikuotoms rizikoms.

Rizikos vertinimas – tai praktinis įrankis, leidžiantis organizacijai suprasti savo rizikos profilį, pagrįsti taikomas kontrolės priemones ir priimti rizika pagrįstus sprendimus.

Kodėl EWRA rizikos vertinimas yra svarbus finansų įstaigoms?

Tinkamai atliktas rizikos vertinimas leidžia:

• identifikuoti didžiausias AML/CFT ir sankcijų rizikas;
• pagrįsti klientų rizikos vertinimo metodiką;
• nustatyti, ar taikomos kontrolės priemonės yra pakankamos;
• įvertinti, ar organizacijos AML/CFT sistema atitinka veiklos pobūdį ir mastą;
• pagrįsti sustiprintų kontrolės priemonių poreikį;
• efektyviau paskirstyti resursus ir kontrolės prioritetus;
• pasirengti reguliaciniams patikrinimams.

Lietuvos bankas vertina ne tik tai, ar organizacija turi AML/CFT procedūras, bet ir ar ji realiai supranta savo veiklos keliamas rizikas bei geba pagrįsti priimtus sprendimus.

Kokios rizikos paprastai vertinamos?

EWRA rizikos vertinimas dažniausiai apima:

• klientų riziką;
• produktų ir paslaugų riziką;
• geografines rizikas;
• pristatymo kanalų riziką;
• sandorių ir veiklos modelio rizikas;
• tarptautinių sankcijų riziką;
• virtualaus turto ir fintech specifines rizikas;
• outsourcingo ir trečiųjų šalių rizikas.

Vertinimo metu analizuojamos tiek inherent (prigimtinės), tiek residual (likutinės) rizikos, taip pat vertinamas taikomų kontrolės priemonių efektyvumas.

Kodėl ECOVIS? Individualus požiūris į EWRA rizikos vertinimą

Rizikos vertinimą atliekame atsižvelgdami į organizacijos veiklos modelį, klientų bazę, produktus, geografiją ir reguliacinę aplinką. Mūsų tikslas – parengti aiškų, praktišką ir reguliacinius lūkesčius atitinkantį EWRA, kuris būtų realiai naudojamas organizacijos veikloje, o ne tik formaliai saugomas dokumentuose.

Turime patirties atliekant AML/CFT ir tarptautinių sankcijų rizikos vertinimus elektroninių pinigų, mokėjimo ir fintech įstaigoms, įskaitant organizacijas, veikiančias tarptautinėje ir didesnės rizikos aplinkoje.