NAUJA REDAKCIJA nuo 2021 01 01

(TAR, 2020, Nr. 2020-16427)

 

INFOLEX PASTABA: 2020 07 23 nutarimu Nr. 03-106 (TAR, 2020, Nr. 2020-16427) nustatyta, kad iki 2020 12 31 pagal terminuotojo indėlio sutartį atidaryta sąskaita iki 2021 12 31 bus laikoma lėšų saugojimo sąskaita, jeigu atitiks iki nutarimo Nr. 03-106 įsigaliojimo dienos (2021 01 01) galiojusius reikalavimus.

 

LIETUVOS BANKO VALDYBA

NUTARIMAS

 

DĖL ELEKTRONINIŲ PINIGŲ ĮSTAIGŲ IR MOKĖJIMO ĮSTAIGŲ VALDYMO SISTEMOS IR GAUTŲ LĖŠŲ APSAUGOS REIKALAVIMŲ APRAŠO PATVIRTINIMO

 

2009 m. gruodžio 30 d. Nr. 247

Vilnius

 

Vadovaudamasi Lietuvos Respublikos Lietuvos banko įstatymo 42 straipsnio 4 dalies 1 punktu, Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo 25 straipsnio 5 dalimi, 27¹ straipsnio 2 dalimi ir 28 straipsnio 6 dalimi, Lietuvos Respublikos mokėjimo įstaigų įstatymo 17 straipsnio 3 dalimi, 21¹ straipsnio 2 dalimi ir 22 straipsnio 6 dalimi, Lietuvos banko valdyba nutaria:

KEISTA (preambulė):

2025 03 06 nutarimu Nr. 03-33 (nuo 2025 04 09)

(TAR, 2025, Nr. 2025-03919)

 

Patvirtinti Elektroninių pinigų įstaigų ir mokėjimo įstaigų valdymo sistemos ir gautų lėšų apsaugos reikalavimų aprašą (toliau – Aprašas) (pridedama).

 

VALDYBOS PIRMININKAS                                                          REINOLDIJUS ŠARKINAS

______________

 

PATVIRTINTA

Lietuvos banko valdybos

2009 m. gruodžio 30 d. nutarimu Nr. 247

 

ELEKTRONINIŲ PINIGŲ ĮSTAIGŲ IR MOKĖJIMO ĮSTAIGŲ VALDYMO SISTEMOS IR GAUTŲ LĖŠŲ APSAUGOS REIKALAVIMŲ APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1. Elektroninių pinigų įstaigų ir mokėjimo įstaigų valdymo sistemos ir gautų lėšų apsaugos reikalavimų aprašas (toliau – Aprašas) nustato pagrindinius valdymo sistemos, vidaus kontrolės ir rizikos valdymo sistemos, vidaus audito reikalavimus ir iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų arba kitų mokėjimo paslaugų teikėjų gautų lėšų, skirtų naudoti kaip elektroninius pinigus ir (arba) būsimoms mokėjimo operacijoms vykdyti (toliau – elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos), apsaugos reikalavimus, kuriuos elektroninių pinigų įstaiga ir mokėjimo įstaiga turi vykdyti, kad būtų apsaugoti elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų interesai, o jos veikla būtų stabili, patikima ir saugi.

2. Aprašas taikomas elektroninių pinigų įstaigoms ir mokėjimo įstaigoms, turinčioms Lietuvos banko išduotą licenciją, užsienio valstybės elektroninių pinigų įstaigų filialams (toliau – Įstaiga). Aprašo IV skyriaus nuostatos taikomos tik Įstaigoms, kurios yra finansų įmonės. Įstaigoms, kurios nėra finansų įmonės, rekomenduojama laikytis Aprašo IV skyriaus nuostatų.

3. Jeigu Įstaigoje nesudaromas kolegialus priežiūros organas (stebėtojų taryba), tačiau priežiūros funkcijos, vadovaujantis Lietuvos Respublikos akcinių bendrovių įstatymo nuostatomis, priskirtos kolegialiam valdymo organui (valdybai), tada Apraše nurodytas priežiūros organo (stebėtojų tarybos) funkcijas atlieka Įstaigos kolegialus valdymo organas (valdyba), jeigu priežiūros funkcijos nepriskirtos valdymo organui (valdybai) arba Įstaigoje kolegialus valdymo organas (valdyba) nesudarytas, Apraše nustatyti reikalavimai priežiūros organui (stebėtojų tarybai) taikomi Įstaigos visuotiniam akcininkų susirinkimui.

4. Jeigu Įstaigoje nesudaromas kolegialus valdymo organas (valdyba), Apraše nustatyti reikalavimai valdymo organui taikomi Įstaigos vienasmeniam valdymo organui (Įstaigos vadovui).

5. Apraše nustatyti valdymo, vidaus kontrolės ir rizikos valdymo sistemos, vidaus audito, elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos reikalavimai taikomi proporcingai Įstaigos veiklai, atsižvelgiant į šiuos kriterijus:

5.1. Įstaigos vykdomą veiklą (verslo modelį), apimančią elektroninių pinigų leidimą ir (arba) mokėjimo paslaugų, nustatytų Lietuvos Respublikos mokėjimų įstatymo (MĮ) 5 straipsnyje, teikimą;

5.2. Įstaigos per pastaruosius 12 mėnesių atliktų mokėjimo operacijų sumą ir (arba) neapmokėtų elektroninių pinigų vidurkį;

5.3. Įstaigos organizacinę struktūrą;

5.4. Įstaigos geografines veiklos sritis ir jos veiklos kiekvienoje jurisdikcijoje mastą;

5.5. Įstaigos klientų tipą ir produktų arba sutarčių sudėtingumą;

5.6. Įstaigos funkcijų, susijusių su elektroninių pinigų leidimu arba mokėjimo paslaugomis, ir kitų svarbių funkcijų perdavimą kitiems asmenims;

5.7. Įstaigos turimas informacinių ir ryšių technologijų sistemas, šių sistemų veiklos tęstinumą užtikrinančias priemones.

6. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatyme (EPEPĮĮ), Lietuvos Respublikos mokėjimo įstaigų įstatyme (MĮĮ), Lietuvos Respublikos mokėjimų įstatyme ir Lietuvos Respublikos finansų įstaigų įstatyme.

 

II SKYRIUS

BENDRIEJI VALDYMO SISTEMOS REIKLAVIMAI [Infolex – REIKALAVIMAI]

 

7. Įstaigoje turi būti įgyvendinta patikima ir riziką ribojančiais principais grindžiama valdymo sistema, apimanti aiškią organizacinę struktūrą ir veiksmingą rizikos, su kuria Įstaiga susiduria arba gali susidurti, valdymo ir vidaus kontrolės sistemą. Valdymo sistema nustatoma atsižvelgiant į Įstaigos verslo modelį ir Įstaigos veiklai būdingos rizikos pobūdį, mastą ir sudėtingumą.

8. Įstaigos organizacinė struktūra laikoma aiškia, kai Įstaigoje:

8.1. patvirtinta išsami organizacinė schema, kurioje pavaizduotas kiekvienas skyrius, padalinys arba kitas panašus struktūrinis vienetas, nurodyti už šių struktūrinių vienetų veiklą atsakingi asmenys. Įstaigoje turi būti patvirtinti priežiūros organo, kolegialaus ir vienasmenio valdymo organo, kiekvieno skyriaus, padalinio arba panašaus struktūrinio vieneto ir kiekvieno darbuotojo funkcijų, atsakomybės ir atskaitomybės aprašai, taip pat, jei taikoma, sprendimų priėmimo ir bendradarbiavimo su kontrolės funkcijas vykdančiais darbuotojais tvarkos aprašai;

8.2. patvirtinta išsami Įstaigos filialo organizacinė schema ir nuostatai, jeigu Įstaiga turi įsteigtų filialų;

8.3. tvarkomas Įstaigos tarpininkų sąrašas, patvirtinta Įstaigos tarpininkų atrankos politika, bendradarbiavimo su Įstaigos tarpininkais ir jų mokymų organizavimo tvarka bei Įstaigos tarpininkų veiklos stebėsenos procedūrų aprašas, jeigu Įstaiga pasitelkia tarpininkus paslaugoms teikti;

8.4. tvarkomas asmenų, kuriems perduotos veiklos funkcijos, sąrašas ir yra įgyvendintos vidaus valdymo priemonės, veiklos funkcijų vykdymo ir stebėsenos priemonės, atitinkančios Lietuvos banko nutarimu patvirtintų Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklių reikalavimus, jeigu Įstaiga perduoda veiklos funkcijas kitiems asmenims.

9. Įstaigos valdymo sistema laikoma patikima, kai:

9.1. Įstaigos organizacinė struktūra keičiama tik įvertinus pakeitimų įtaką Įstaigos veiklai ir rizikos valdymui, vengiama neplanuotų reikšmingų organizacinės struktūros keitimų;

9.2. Įstaigos priežiūros organo, kolegialaus ir vienasmenio valdymo organo nariai nuolatos yra nepriekaištingos reputacijos ir turi pakankamai žinių, įgūdžių bei patirties savo pareigoms vykdyti ir skiria pakankamai laiko savo funkcijoms Įstaigoje atlikti, o bendra priežiūros organų ir valdymo organo sudėtis rodo, kad jų nariai turi pakankamai žinių ir patirties, leidžiančių suprasti Įstaigos veiklą ir prisiimamą riziką;

9.3. Įstaigos vidaus dokumentuose aiškiai nustatytos priežiūros organo, kolegialaus ir vienasmenio valdymo organo narių funkcijos, siekiant, kad Įstaigos veikla būtų tinkamai valdoma ir kontroliuojama;

9.4. Įstaigoje yra paskirti už kontrolės funkcijas atsakingi asmenys ir juos skiriant atsižvelgiama į teisės aktų reikalavimus ir į Įstaigos rizikos pobūdį, mastą ir sudėtingumą. Už kontrolės funkcijas atsakingais asmenimis laikomi asmenys, atsakingi už rizikos valdymą, už atitiktį teisės aktų ir Įstaigos vidaus dokumentų reikalavimams, įskaitant atitiktį pinigų plovimo ir teroristų finansavimo prevencijos reikalavimams, už veiklos funkcijų perdavimo kitiems asmenims rizikos valdymą ir priežiūrą, už vidaus audito organizavimą. Vienas asmuo gali būti atsakingas už kelias kontrolės funkcijas, išskyrus vidaus audito organizavimą. Asmuo, atsakingas už vidaus audito organizavimą, negali būti atsakingas už kitas kontrolės funkcijas. Atsakingi už šiame Aprašo punkte nurodytas kontrolės funkcijas gali būti ir Įstaigos valdymo organo nariai, tačiau tokiu atveju turi būti tinkamai valdoma dėl interesų konflikto kylanti rizika, užtikrinant bent nusišalinimą nuo sprendimų, susijusių su šia kontrolės funkcija, priėmimo;

9.5. Aprašo 9.4 papunktyje nurodytiems asmenims, kurie atsako už kontrolės funkcijų Įstaigoje įgyvendinimą, yra sudaryta galimybė funkcijas vykdyti objektyviai, sąžiningai ir nepriklausomai, užtikrinant, kad šie asmenys, išskyrus asmenį, atsakingą už vidaus audito organizavimą, yra tiesiogiai atskaitingi Įstaigos kolegialiam valdymo organui, o asmuo, atsakingas už vidaus audito organizavimą, atskaitingas Įstaigos priežiūros organui;

9.6. siekdama tinkamai valdyti pinigų plovimo ir teroristų finansavimo riziką, Įstaiga, atsižvelgdama į Lietuvos banko valdybos nutarimu patvirtintus Finansų rinkos dalyviams skirtus nurodymus, kuriais siekiama užkirsti kelią pinigų plovimui ir (arba) teroristų finansavimui, vidaus dokumentuose nustato ir įgyvendina veiksmingas vidaus kontrolės ir rizikos valdymo procedūras ir priemones;

9.7. siekdama tinkamai valdyti informacinių ir ryšių technologijų riziką ir saugumo riziką, Įstaiga, atsižvelgdama į Lietuvos banko valdybos nutarimu patvirtintus Informacinių ir ryšių technologijų rizikos ir saugumo rizikos valdymo reikalavimus, vidaus dokumentuose nustato ir įgyvendina veiksmingas vidaus kontrolės ir rizikos valdymo procedūras ir priemones;

9.8. Įstaiga tvarko duomenų, susijusių su veiklos rezultatais, operacijomis, sukčiavimais, katalogą, kuriame nurodoma: duomenų tipas, susijęs su klientu, mokėjimo paslaugos rūšimi, paslaugų teikimo kanalu, mokėjimo priemone, jurisdikcija ir valiuta; duomenų rinkimo apimtis pagal veiklą ir susijusius subjektus, įskaitant Įstaigos filialus ir tarpininkus (elektroninių pinigų įstaigos nurodo ir asmenis, per kuriuos elektroninių pinigų įstaiga platins ir išpirks elektroninius pinigus); duomenų rinkimo būdai; duomenų rinkimo tikslas; duomenų rinkimo dažnumas. Įstaigos vidaus dokumentuose yra aprašytas sistemų, kurias naudojant renkami, saugomi ir analizuojami su veiklos rezultatais, operacijomis, sukčiavimais susiję duomenys, veikimas;

9.9. Įstaiga turi vidaus dokumentuose nustatytas apskaitos procedūras, skirtas finansinei informacijai tvarkyti ir ataskaitoms sudaryti, ir šios procedūros sudaro sąlygas Įstaigai saugiai ir patikimai naudoti bei valdyti turtą ir juo disponuoti. Įstaiga atskirai įtraukia į apskaitą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšas ir kitas Įstaigos turimas lėšas, taiko kitas apskaitos procedūras, kurios sudaro sąlygas Įstaigai tinkamai įgyvendinti elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos reikalavimus;

9.10. Įstaigoje įgyvendinta veiksminga informacijos apsikeitimo sistema, leidžianti Įstaigos horizontaliu ir vertikaliu valdymo lygmenimis laiku gauti informaciją, reikalingą veiklos, kontrolės, valdymo ir priežiūros funkcijoms atlikti ir sprendimams priimti. Įstaigoje tvarkomas informacijos, kuria keičiamasi Įstaigoje, registras, jame nurodomas bent teikiamos informacijos turinys, ją rengiantys ir ją gaunantys asmenys ir informacijos teikimo periodiškumas;

9.11. parengtas, reguliariai testuojamas ir bent kartą per metus atnaujinamas pagrįstas veiklos tęstinumo planas, siekiant užtikrinti Įstaigos gebėjimą nuolat vykdyti veiklą ir apriboti nuostolius veiklai sutrikus. Visi sunkumai ar trikdžiai vykdant testavimus yra dokumentuojami ir nagrinėjami atitinkamai tikslinant veiklos tęstinumo planą.

10. Įstaigos valdymo organas, įgyvendindamas teisės aktuose, Įstaigos įstatuose ir kituose vidaus dokumentuose nustatytas funkcijas, turi:

10.1. reguliariai aptarti, kaip įgyvendinama nustatyta Įstaigos veiklos strategija, ar ji aktuali, su Įstaigos priežiūros organu;

10.2. konstruktyviai nagrinėti ir kritiškai vertinti struktūrinių padalinių ir asmenų, atsakingų už kontrolės funkcijų įgyvendinimą, pasiūlymus, paaiškinimus ir informaciją, prieš priimdamas sprendimus, kaupti ir sisteminti su šių sprendimų priėmimu susijusią informaciją;

10.3. reguliariai ir prireikus nedelsiant informuoti priežiūros organo narius apie svarbius Įstaigoje susidariusios padėties vertinimo aspektus, riziką ir pokyčius, turinčius arba galinčius turėti poveikį Įstaigai, pvz., svarbius sprendimus dėl veiklos ir prisiimamos rizikos, ekonominės ir verslo aplinkos, atitikties kapitalo reikalavimams;

10.4. patvirtinti Įstaigos organizacinės ir veiklos struktūros aprašą, užtikrinant tinkamą darbuotojų funkcijų atskyrimą ir atsakomybės paskirstymą, tinkamą vertikalių ir horizontalių atskaitomybės ryšių įgyvendinimą;

10.5. užtikrinti, kad Įstaigos darbuotojai turėtų tinkamą kvalifikaciją ir reputaciją, pakankamai patirties ir reikiamų įgūdžių savo funkcijoms atlikti;

10.6. nustatyti vidaus kontrolės sistemą, kuri užtikrintų, kad finansinė ir kita informacija, naudojama Įstaigos viduje ir pateikiama priežiūros institucijai arba kitiems asmenims, bus patikima, tinkama ir teikiama laiku, o Įstaigos veikla atitiks įstatymų, Lietuvos banko nutarimų, kitus teisės aktų reikalavimus ir Įstaigos strategiją.

 

III SKYRIUS

VIDAUS KONTROLĖS IR RIZIKOS VALDYMO SISTEMA

 

11. Įstaigos priežiūros organas turi patvirtinti rizikos valdymo strategiją, kurioje būtų apibrėžtas rizikos mastas, kiekvienos rizikos rūšies limitai ir vidinės procedūros rizikai identifikuoti, vertinti, stebėti, mažinti, kontroliuoti.

12. Įstaigos rizikos valdymas turi apimti atsiskaitymų, likvidumo, operacinę, pinigų plovimo ir teroristų finansavimo, atitikties, rinkos, sandorio šalies kredito, koncentracijos, elgsenos su klientais ir kitų rūšių balansinę ir nebalansinę, faktinę ir tikėtiną riziką, kuri kyla ar galėtų kilti Įstaigai leidžiant elektroninius pinigus, teikiant mokėjimo paslaugas, investuojant lėšas, gautas iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų arba kitų mokėjimo paslaugų teikėjų, teikiant kitas paslaugas ar vykdant kitą veiklą.

13. Asmuo, atsakingas už rizikos valdymo funkcijos įgyvendinimą, turi ne rečiau nei kas ketvirtį Įstaigos valdymo organui pateikti Įstaigos rizikų žemėlapį, o kartą per metus – metinę rizikos valdymo ataskaitą.

14. Įstaigos valdymo organas turi patvirtinti Įstaigos vidaus kontrolės procedūrų aprašus, kuriuose turi būti nurodoma, kaip vykdoma periodinė ir nuolatinė vidaus kontrolė, pateikiama informacija apie šios kontrolės dažnumą ir jai vykdyti paskirtus žmogiškuosius išteklius, naudojamas informacines ir ryšių technologijas.

15. Įstaigos darbuotojai, vykdydami savo pareigas, apie vidaus kontrolės sistemos trūkumus, netinkamai valdomą riziką, su kuria susiduria Įstaiga, teisės aktų ir Įstaigos vidaus dokumentų pažeidimus turi nedelsdami informuoti už vidaus kontrolės funkciją atsakingus asmenis Įstaigos vidaus dokumentuose nustatyta tvarka.

16. Įstaiga turi reguliariai vertinti vidaus kontrolės ir rizikos valdymo sistemą ir užtikrinti, kad rasti trūkumai bus pašalinti.

16¹.

KEISTA:

2025 03 06 nutarimu Nr. 03-33 (nuo 2025 04 09)

(TAR, 2025, Nr. 2025-03919)

 

Įstaiga turi per EPEPĮĮ 27¹ straipsnio 3 dalyje ir (arba) MĮĮ 21¹ straipsnio 3 dalyje, o jeigu Įstaiga pradėjo elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklą iki 2025 m. balandžio 8 d., – per Lietuvos Respublikos elektroninių pinigų ir elektroninių pinigų įstaigų įstatymo Nr. XI-1868 11, 25 straipsnių ir priedo pakeitimo ir Įstatymo papildymo 27¹ straipsniu įstatymo 5 straipsnio 3 ir (arba) 4 dalyje arba Lietuvos Respublikos mokėjimo įstaigų įstatymo Nr. XI-549 17 straipsnio ir priedo pakeitimo ir Įstatymo papildymo 21¹ straipsniu įstatymo 4 straipsnio 3 dalyje nustatytus terminus parengti, o kolegialus Įstaigos valdymo organas patvirtinti elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo planą. Veiklos nutraukimo plane turi būti numatyta bent:

16¹.1. elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo scenarijai ir jų įgyvendinimo priemonės. Šie scenarijai turi apimti tiek Įstaigos suplanuotą elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimą, tiek veiklos nutraukimą dėl nuostolių, klientų ar infrastruktūros praradimo, krizių, Lietuvos banko poveikio priemonių ir kitais iš anksto nesuplanuotais atvejais. Veiklos nutraukimo scenarijai turi būti realistiški, o jų įgyvendinimo priemonės tokios, kurias Įstaiga gali prireikus nedelsdama pritaikyti;

16¹.2. asmenų, kuriuos paveiks elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimas, grupės (įskaitant elektroninių pinigų turėtojus ir (arba) mokėjimo paslaugų vartotojus, kitus finansų rinkos dalyvius) ir numatomas jų skaičius pagal grupes, numatomas poveikis bei priemonės neigiamam poveikiui šiems asmenims ir finansų rinkai maksimaliai sumažinti, atsiskaitymo su elektroninių pinigų turėtojais ir (arba) mokėjimo paslaugų vartotojais tvarka;

16¹.3. rodikliai, pagal kuriuos nustatomas galimas poreikis nutraukti elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklą (pvz., finansiniai (mokumo ir likvidumo, pelningumo, finansinio stabilumo, pajamų, kapitalo ir kt.), atitikties ir reguliacinės rizikos (privalomas pagal teisės aktus funkcijas vykdančių darbuotojų turėjimo, kapitalo pakankamumo rodiklio, priežiūros institucijos pranešimų apie veiklos trūkumus ir sprendimų dėl pažeidimų, baudų, atitikties kaštų didėjimo ir kt.), veiklos (klientų pasitenkinimo, aktyvių klientų skaičiaus, sutarčių su klientais skaičiaus, operacijų skaičiaus, vienam klientui tenkančių operacijų skaičiaus, tam tikrų paslaugų pelningumo, gaunamų pajamų mažėjimo dėl kibernetinių atakų ar sukčiavimo ir kt.), strateginiai (verslo modelio tvarumo, investuotojų susidomėjimo ar pasitikėjimo, pagrindinių partnerių išlaikymo, siūlomų paslaugų atitikties rinkos poreikiams ir kt.), rinkos rizikos (rinkos dydžio, tikslinių teritorijų masto, rinkos ar klientų dalies praradimo dėl konkurencijos ir kt.) ir pan.), rodiklių reikšmės, kurioms esant Įstaiga sprendžia, ar nutraukti elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklą, ir rodiklių stebėsenos tvarka;

16¹.4. sąrašo, į kurį būtų įtraukti visi elektroninių pinigų turėtojai ir (arba) mokėjimo paslaugų vartotojai, nurodant bent informaciją apie kiekvieno jų lėšų sumą ir bendrą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų sumą, atskirai išskiriant sumas lėšų, disponavimas kuriomis teisės aktų nustatyta tvarka apribotas, ir sprendimus dėl šių apribojimų priėmusius subjektus, forma ir sudarymo tvarka. Kai sprendimą dėl elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo priima pati Įstaiga, sąrašas turi būti sudarytas prieš priimant šį sprendimą, kad priimdama sprendimą Įstaiga įvertintų sąrašo informaciją;

16¹.5. sprendimo dėl elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo (kai šį sprendimą priima pati Įstaiga) priėmimo tvarka, taip pat veiksmai, kuriais užtikrinamas Lietuvos banko informavimas nedelsiant apie sprendimą nutraukti elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklą, ir už šių veiksmų atlikimą atsakingi asmenys;

16¹.6. elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo veiksmai ir jų atlikimo terminai, taip pat elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo proceso ir konkrečių rizikų, galinčių turėti įtakos sklandžiam veiklos nutraukimui, valdymo tvarka, įskaitant priemones, kuriomis užtikrinamas tinkamas sutarčių su elektroninių pinigų turėtojais ir (arba) mokėjimo paslaugų vartotojais nutraukimas ir neužbaigtų mokėjimo operacijų įvykdymas. Įstaiga, numatydama atliktinų veiksmų terminus, turi, be kita ko, atsižvelgti į įstatymuose (Lietuvos Respublikos mokėjimų įstatyme, Lietuvos Respublikos civiliniame kodekse ir pan.) ir Įstaigos sudarytose sutartyse nustatytas sutarčių nutraukimo sąlygas ir įvertinti pasekmes, kurių galėtų būti Įstaigai nevykdant sutarčių ar jas vykdant netinkamai;

16¹.7. elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklai nutraukti reikalingi nefinansiniai ištekliai (informacijos, žmogiškieji, informacinių ir ryšių technologijų ištekliai, kviestiniai konsultantai, kiti paslaugų teikėjai ir kt.) ir finansiniai ištekliai bei jų šaltiniai;

16¹.8. informacijos apie elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimą teikimo planas. Šiame plane turi būti numatyti bent asmenys (įskaitant elektroninių pinigų turėtojus ir (arba) mokėjimo paslaugų vartotojus bei asmenis, priėmusius sprendimus dėl disponavimo jų lėšomis apribojimo), kurie bus informuojami apie veiklos nutraukimą, ir už teiktinos informacijos parengimą, patvirtinimą, informacijos teikimo koordinavimą ir informavimą atsakingi asmenys;

16¹.9. priemonės, kuriomis užtikrinama, kad Įstaiga galėtų prireikus nedelsdama susisiekti su kiekvienu elektroninių pinigų turėtoju ir (arba) mokėjimo paslaugų vartotoju;

16¹.10. atskaitomybės Įstaigoje už veiklos nutraukimo plano vykdymą tvarka;

16¹.11. elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo plano peržiūros periodiškumas ir už peržiūrą atsakingi asmenys, taip pat atvejai, kai elektroninių pinigų leidimo ir (arba) mokėjimo paslaugų teikimo veiklos nutraukimo planas turi būti peržiūrėtas nedelsiant.

 

IV SKYRIUS

VIDAUS AUDITAS

 

17. Vidaus audito funkciją įstaigoje vykdo Įstaigos darbuotojas – vidaus auditorius arba Įstaigos vidaus audito struktūrinis padalinys, arba kitas asmuo, kuriam Įstaiga perdavė vidaus audito funkcijos vykdymą (toliau – Vidaus auditorius). Įstaiga negali perduoti vidaus audito funkcijos vykdyti audito įmonei, su kuria yra sudariusi sutartį dėl finansinių ataskaitų audito.

18. Vidaus audito procesas Įstaigoje turi apimti šiuos etapus:

18.1. vidaus audito planavimą;

18.2. vidaus audito atlikimą (informacijos rinkimą, tikrinimą ir vertinimą);

18.3. vidaus audito rezultatų pateikimą;

18.4. vidaus audito metu nustatytų trūkumų šalinimo ir vidaus audito rekomendacijų įgyvendinimo kontrolę.

19. Vidaus auditorius, atsižvelgdamas į Įstaigos veiklos sričių rizikos vertinimo rezultatus, turi sudaryti metinį vidaus audito planą.

20. Įstaigos priežiūros organas turi patvirtinti Vidaus auditoriaus pateiktą metinį vidaus audito planą, taip pat metinio vidaus audito plano pakeitimą, jei reikalingi reikšmingi pakeitimai. Reikšmingais pakeitimais laikomas naujų vidaus auditų įtraukimas į vidaus audito planą, taip pat jau suplanuoto vidaus audito atsisakymas.

21. Prieš atlikdamas atitinkamos veiklos srities vidaus auditą, Vidaus auditorius turi parengti ir dokumentuoti planą, apimantį šio vidaus audito tikslus, apimtį, trukmę ir reikalingus išteklius.

22. Atlikęs vidaus auditą, Vidaus auditorius parengia vidaus audito ataskaitos projektą, kuris pateikiamas Įstaigos struktūrinių padalinių, kuriuose buvo atliktas auditas, pastaboms, jas įvertinus, parengiama galutinė vidaus audito ataskaita.

23. Vidaus audito ataskaitoje turi būti nurodyti atlikto vidaus audito tikslai ir apimtis, išvados, rekomendacijos. Vidaus audito ataskaita turi būti tiksli, aiški, objektyvi, konstruktyvi, išsami.

24. Įstaigos valdymo organas, atsižvelgdamas į vidaus audito metu nustatytus trūkumus ir Vidaus auditoriaus pateiktas rekomendacijas, tvirtina audituotos srities veiksmų planą, skirtą nustatytiems trūkumams šalinti ir rekomendacijoms įgyvendinti (toliau – veiksmų planas), nurodydamas atsakingus asmenis, trūkumų šalinimo ir rekomendacijų įgyvendinimo terminus. Patvirtintas veiksmų planas pateikiamas Vidaus auditoriui, kuris atlieka nustatytų trūkumų šalinimo ir pateiktų rekomendacijų įgyvendinimo kontrolę.

25. Vidaus auditorius ne rečiau kaip kartą per metus atsiskaito priežiūros organui. Ataskaitoje nurodoma bent informacija apie atliktus patikrinimus, nustatytas ir įgyvendintas rekomendacijas.

 

V SKYRIUS

ELEKTRONINIŲ PINIGŲ TURĖTOJŲ IR (ARBA) MOKĖJIMO PASLAUGŲ VARTOTOJŲ LĖŠŲ APSAUGOS REIKALAVIMAI

 

26. Įstaigos valdymo organas turi užtikrinti, kad elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos bus apsaugotos taikant bent vieną iš šių būdų:

26.1. atskiriant šias lėšas nuo kitų fizinių arba juridinių asmenų, kurie nėra elektroninių pinigų turėtojai ar mokėjimo paslaugų vartotojai, lėšų;

26.2. apdraudžiant šias lėšas draudimo sutartimi arba gaunant dėl jų garantiją ar laidavimo raštą, išduotą Lietuvos Respublikos draudimo įmonės ar kredito įstaigos (įskaitant užsienio valstybės draudimo įmonės ar kredito įstaigos filialą, įsteigtą Lietuvos Respublikoje) arba kitos valstybės narės draudimo įmonės ar kredito įstaigos, nepriklausančios tai pačiai kaip Įstaiga įmonių grupei, tokiai Įstaigai negalint įvykdyti savo įsipareigojimų dėl išmokamos sumos, kuri turėtų būti atskirta, jeigu būtų taikomas Aprašo 26.1 papunktyje nurodytas būdas.

27. Įgyvendindamas Aprašo 26 punkto reikalavimą, Įstaigos valdymo organas turi patvirtinti vidaus dokumentus, nustatančius elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos procesą, tokių lėšų apskaitos ir vidaus kontrolės procedūras. Šie vidaus dokumentai turi būti reguliariai persvarstomi Įstaigos pasirinktu periodiškumu. Jei Įstaiga pasirenka taikyti abu Aprašo 26 punkte nurodytus lėšų apsaugos būdus, vidaus dokumentuose turi būti aiškiai nurodyta, kokioms lėšoms, kuris būdas yra taikomas.

28. Įstaiga, kuri pasirinko Aprašo 26.1 papunktyje nustatytą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos būdą, vadovaudamasi EPEPĮĮ 25 straipsnio 1 dalies 1 punkto ir MĮĮ 17 straipsnio 1 dalies 1 punkto nuostatomis, privalo:

28.1. pervesti šias lėšas į atskirą sąskaitą, atidarytą EPEPĮĮ 25 straipsnio 1 dalies 1 punkte ir MĮĮ 17 straipsnio 1 dalies 1 punkte nurodytame centriniame banke ar kredito įstaigoje ir skirtą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšoms saugoti (toliau – lėšų saugojimo sąskaita), arba;

28.2. investuoti šias lėšas į saugų, likvidųjį ir mažos rizikos turtą.

29. Sutarties dėl lėšų saugojimo sąskaitos arba sutarties dėl vertybinių popierių saugojimo sąskaitos atidarymo sąlygose, įskaitant šių sutarčių priedus, turi būti nustatyta, kad atitinkama sąskaita skirta tik Įstaigai perduotų elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšoms arba tik vertybiniams popieriams, kurie buvo įsigyti už Įstaigos iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų gautas lėšas, saugoti ir tvarkyti ir kad šios lėšos ir vertybiniai popieriai išlieka jas perdavusių elektroninių paslaugų turėtojų ir mokėjimo paslaugų vartotojų nuosavybė, ir kad į jas negali būti nukreiptas išieškojimas pagal Įstaigos skolas. Jeigu sutarties dėl lėšų saugojimo sąskaitos arba sutarties dėl vertybinių popierių saugojimo sąskaitos atidarymo sąlygose, įskaitant šių sutarčių priedus, nėra atitinkamų elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos nuostatų, Įstaiga iš kredito įstaigos ar vertybinių popierių saugotojo turi gauti patvirtinimą arba sudaryti atskirą susitarimą, kuriuose turi būti nurodyta bent: patvirtinimo išdavimo arba susitarimo sudarymo data; Įstaigos pavadinimas; sąskaitos (-ų), kurioje (-iose) saugomos Įstaigai perduotos elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos arba vertybiniai popieriai, numeris (-iai); patvirtinimas, kad sąskaita (-os) nuo šiame patvirtinime nurodytos datos bus skirta (-os) tik Įstaigos iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų gautoms lėšoms ir vertybiniams popieriams saugoti ir tvarkyti, ir tai, kad lėšos ir vertybiniai popieriai išlieka elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų nuosavybė ir į jas nebus nukreiptas išieškojimas pagal Įstaigos skolas; įgaliotojo darbuotojo parašas, kai išduodamas patvirtinimas arba abiejų šalių parašai, kai sudaromas atskiras susitarimas.

30. Įstaiga, įgyvendindama Aprašo 28.1 papunktyje nustatytą reikalavimą:

30.1. gali gauti elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšas į lėšų saugojimo sąskaitą arba kitą Įstaigos vardu atidarytą sąskaitą, skirtą tik elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų mokėjimo operacijoms vykdyti (toliau – mokėjimų sąskaita), arba grynaisiais pinigais ir;

30.2. jeigu elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos buvo gautos į mokėjimų sąskaitą arba grynaisiais pinigais, privalo pervesti elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšas arba Įstaigos nuosavas lėšas, atitinkančias gautų iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų sumą, ne vėliau kaip kitos darbo dienos pabaigoje į lėšų saugojimo sąskaitą;

30.3. privalo užtikrinti, kad lėšų saugojimo sąskaitoje bus laikomos tik elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos, išskyrus atvejus, kurie nurodyti Aprašo 32 punkte.

31. Mokėjimų sąskaita ir sąskaita, atidaryta pagal indėlio, išskyrus neatšaukiamą terminuotąjį indėlį, sutartį, gali būti laikomos lėšų saugojimo sąskaita, jeigu atitinka Aprašo 28.1 papunkčio ir 29 punkto reikalavimus.

32. Įstaiga gali lėšų saugojimo sąskaitoje laikyti šias nuosavas lėšas:

32.1. skirtas kredito įstaigos taikomiems mokesčiams už lėšų saugojimo sąskaitos tvarkymo paslaugą sumokėti, bet tik tada, jeigu kredito įstaiga, kurioje atidaryta lėšų saugojimo sąskaita, nesudaro kitos galimybės sumokėti šiuos mokesčius;

32.2. gautus iš elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų komisinius ir kitus mokesčius už mokėjimo ir kitas glaudžiai su mokėjimo paslaugomis susijusias papildomas paslaugas. Įstaiga privalo pervesti šias lėšas į kitą Įstaigos vardu atidarytą sąskaitą vidaus dokumentuose nustatytu periodiškumu, kuris turi būti nustatytas atsižvelgiant į Įstaigos veiklos modelio ypatumus.

33. Aprašo 32 punkte nurodytų nuosavų lėšų dydis lėšų saugojimo sąskaitoje turi būti nuolatos vertinamas. Įstaiga turi taikyti vidaus kontrolės procedūras, skirtas elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos reikalavimams užtikrinti.

34. Vidaus kontrolės procedūros turi apimti bent lėšų sutikrinimą, kurį atliekant palyginama lėšų saugojimo sąskaitos likučio suma pasirinktos dienos pabaigoje su elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų, kurios turi būti apsaugotos, suma. Sutikrinimo procedūros atlikimo periodiškumas turi būti nustatytas vidaus dokumentuose. Kuo didesnė yra šių sumų nesutapimo rizika, tuo dažniau Įstaiga turi atlikti sutikrinimo procedūrą. Atliktas sumų sutikrinimas turi būti dokumentuotas. Jei nustatoma, kad lėšų saugojimo sąskaitoje esanti suma yra nepakankama, palyginti su elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų, kurios turi būti apsaugotos, suma, Įstaiga turi identifikuoti trūkumo priežastis ir nedelsdama pervesti trūkstamą sumą į lėšų saugojimo sąskaitą. Jei nustatoma, kad lėšų saugojimo sąskaitoje esanti suma yra didesnė, palyginti su elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų, kurios turi būti apsaugotos, suma, Įstaiga turi išsiaiškinti perviršio susidarymo priežastis ir Įstaigos vidaus dokumentuose nustatyta tvarka lėšų saugojimo sąskaitoje laikomų lėšų perviršį sumažinti.

35. Įstaiga, kuri mokėjimo paslaugas teikia per tarpininką, turi užtikrinti, kad lėšos, kurias gavo tarpininkas ir kurias kitos darbo dienos pabaigoje tarpininkas dar turi ir dar neperdavė gavėjui ar kitam mokėjimo paslaugų teikėjui, laikomos Įstaigos vardu atidarytoje lėšų saugojimo sąskaitoje. Įstaiga privalo:

35.1. įsitikinti, kad tarpininkas turi dokumentuotas lėšų atskyrimo procedūras, atitinkančias mutatis mutandis bent Aprašo 30.2 papunkčio reikalavimus;

35.2. turėti nustatytas informacijos apsikeitimo ir vidaus kontrolės procedūras, kurias taikydama įsitikina, kad tarpininkas tinkamai atskiria lėšas;

35.3. į lėšų saugojimo sąskaitą pervesti nuosavų lėšų, atitinkančių elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų, gautų per Įstaigos vardu veikiančius tarpininkus, sumą, jeigu tarpininkas šių lėšų dar nėra pervedęs.

36. Įstaiga, kuri pasirinko Aprašo 28.2 papunktyje nustatytą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos būdą, saugiam, likvidžiam ir mažos rizikos turtui priskiria:

36.1. skolos vertybinius popierius, kuriems pagal 2013 m. birželio 26 d. Europos Parlamento ir Tarybos reglamento (ES) Nr. 575/2013 dėl prudencinių reikalavimų kredito įstaigoms ir investicinėms įmonėms ir kuriuo iš dalies keičiamas Reglamentas (ES) Nr. 648/2012 (toliau – Reglamentas) (su visais vėlesniais Reglamento pakeitimais) trečioje dalyje išdėstytos II antraštinės dalies 2 skyrių taikomi 0, 20, 50 proc. rizikos koeficientai;

36.2. suderintojo kolektyvinio investavimo subjekto, investuojančio tik į Aprašo 36.1 papunktyje nurodytus skolos vertybinius popierius, investicinius vienetus;

36.3. skolos vertybinius popierius, suderintojo kolektyvinio investavimo subjekto investicinius vienetus, kurie neatitinka Aprašo 36.1 ir 36.2 papunkčiuose nustatytų reikalavimų, bet jie buvo įsigyti iki 2020 m. gruodžio 31 d. ir atitiko įsigijimo metu galiojusių teisės aktų reikalavimus.

37. Įstaiga turi užtikrinti, kad elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšos, investuotos į Aprašo 36.1 ir 36.2 papunkčiuose nurodytą finansinį turtą, yra laikomos leidimą veiklai turinčio vertybinių popierių saugotojo atskiroje sąskaitoje, kuriai mutatis mutandis taikomi šiame Aprašo skyriuje nustatyti elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos reikalavimai.

38. Įstaigoje, kuri pasirinko Aprašo 28.2 papunktyje nustatytą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos būdą, turi būti kolegialaus valdymo organo patvirtinta investavimo politika, kurioje turi būti nustatyta bent:

38.1. siekiamas viso investicijų portfelio saugumo ir likvidumo lygis, paaiškinant, kaip jis bus pasiektas;

38.2. skolos vertybinių popierių pagal emitentus, valiutas, geografinius regionus limitai;

38.3. likvidumo poreikiai per trumpalaikį ir vidutinės trukmės laikotarpį, jų stebėsena ir tinkama likvidumo atsarga, kuri būtų panaudota esant likvidžių lėšų trūkumui;

38.4. turto ir įsipareigojimų neatitikties, ypač trukmės ir valiutos atžvilgiu, nustatymo ir vertinimo procedūros;

38.5. taikytinos rizikos mažinimo priemonės ir tikėtinas atitinkamų rizikos mažinimo priemonių poveikis turto ir įsipareigojimų nesuderinamumo rizikos valdymui;

38.6. leidžiami turto ir įsipareigojimų neatitikimai;

38.7. testavimo nepalankiausiomis sąlygomis ir scenarijų testavimo (angl. scenario test) metodika ir dažnumas.

39. Įstaiga, kuri pasirinko Aprašo 28.2 papunktyje nustatytą elektroninių pinigų turėtojų ir (arba) mokėjimo paslaugų vartotojų lėšų apsaugos būdą, gali naudoti išvestines finansines priemones investicijų portfelio rizikai valdyti, savo sąskaita vykdydama išvestinių finansinių priemonių sandorius ir prisiimdama iš jų kylančią riziką. Naudodama išvestines finansines priemones, Įstaiga turi:

39.1. investavimo politikoje nustatyti ir įdiegti išvestinių finansinių priemonių rezultatų stebėjimo procedūras;

39.2. įvertinti, ar naudojant išvestines finansines priemones yra gerinama viso investicijų portfelio kokybė ir likvidumas, ar nedaromas reikšmingas neigiamas poveikis nė vienam iš šių kriterijų.

39.3. dokumentuoti pagrindines priežastis, dėl kurių buvo pasirinkta išvestinė priemonė, ir rizikos perdavimo veiksmingumo įvertinimą.

______________