Fuzja lub przejęcie to złożone działania, które należy prawidłowo zaplanować, aby jego uczestnicy mogli liczyć na efekt synergii. Wyzwanie staje się jednak tym trudniejsze, im silniej uregulowana jest branża, której dotyczy M&A. Przeczytaj, jakie obszary badamy w przypadku audytów dotyczących podmiotów działających w obszarze usług płatniczych.
W tym artykule przeczytasz o:
- audycie prawnym szczególnie ważnym ze względu na stopień skomplikowania regulacji w branży branży finansowej i usług płatniczych.
- analizie działania spółki z branży usług płatniczych, która powinna objąć sektorowe przepisy prawa, IT, regulacje RODO.
- audycie instytucji płatniczej, który należy cyklicznie powtarzać, aby na bieżąco identyfikować zagrożenia.
Audyt spółki z usług płatniczych -jakie obszary działalności monitorujemy?
Prawidłowa realizacja M&A w branży finansowej wymaga starannej analizy wielu różnych obszarów. Każdy z nich weryfikujemy indywidualnie, bazując na wieloletniej praktyce i doświadczenie. Przeczytaj, na co zwracamy szczególną uwagę.
Dlaczego legalność wpisu i prawidłowość modelu biznesowego są ważne?
Pierwszym etapem audytu jest zweryfikowanie, czy spółka z branży usług płatniczych będzie działała zgodnie z przepisami prawa. Chodzi przede wszystkim o takie aspekty jak działalność zagraniczna (KIP), wykonywanie usług za pośrednictwem agentów, ale też kontrola wniosku o wydanie zezwolenia na prowadzenie działalności. Instytucje płatnicze muszą spełnić wymagania dotyczące posiadania kapitału własnego, oddzielenia środków własnych od pieniędzy klientów,
Kontrolę legalności zalecamy również w sytuacji, kiedy zamierzasz outsourcować wykonywanie określonych czynności operacyjnych związanych ze świadczeniem usług płatniczych lub z działalnością w zakresie wydawania pieniądza elektronicznego.
Rejestracja KIP do KNF trwa nawet kilkanaście miesięcy. Korzystając z pomocy profesjonalistów, masz pewność, że po drodze nie zostaną popełnione pomyłki, które mogłyby przedłużyć cały proces.
W przypadku podmiotów z sektora usług płatniczych często pojawia się potrzeba analizy modelu biznesowego. Uwzględniamy przepisy ustaw prawo bankowe, ustawy o kredycie konsumenckim, a także ustalamy, czy w rozumieniu przepisów o rynkach finansowych dany produkt nie zostanie uznany za instrument finansowy.
Audyt prawny ma znaczenie również przy paszportowaniu, czyli świadczeniu usług płatniczych w innych krajach na podstawie rodzimej licencji. Wykorzystując Single Passport Rule, polskie firmy nadal muszą spełnić lokalne wymagania dotyczące danego sektora.
Pamiętaj!
W przypadku połączenia lub przejęcia konieczne będzie ponowne ubieganie się o zezwolenie na prowadzenie działalności regulowanej.
Kompletność raportów do instytucji nadzoru
Spółki działające w obszarze usług płatniczych jako MIP lub KIP mają obowiązki raportowe względem Komisji Nadzoru Finansowego. Podstawowym obowiązkiem jest przekazywanie do KNF informacji o łącznej wartości i liczbie transakcji płatniczych wykonanych w zakresie poszczególnych rodzajów usług płatniczych w ujęciu miesięcznym, kwartalnym i rocznym (art. 117r ustawy o usługach płatniczych). Organ nadzoru musi otrzymać także roczne sprawozdanie finansowe wraz z odpisem uchwały albo postanowienia organu zatwierdzającego o zatwierdzeniu sprawozdania finansowego.
Dodatkowe obowiązki instytucji płatniczych obejmują:
- roczną aktualizację o ocenie i aktualizacji procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, mechanizmów kontroli i zarządzania ryzykiem,
- sprawozdanie dotyczące oszustw związanych z wykonywanymi usługami płatniczymi,
- aktualizację danych znajdujących się w rejestrze ERUP.
MIP i KIP muszą spełnić też wymagania dotyczące bezpieczeństwa gromadzonych środków i oddzielenia pieniędzy swoich klientów od zasobów spółki. Jak było widać na przykładzie serwisu Cinkciarz.pl i spółki Conotoxia, błędy w tym zakresie mogą skończyć się całkowitą utratą wypracowanej pozycji rynkowej.
Dokumentacja i procedury AML
Spółki działające w obszarze usług płatniczych kwalifikują się jako instytucje obowiązane w rozumieniu przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Oznacza to konieczność spełnienia szeregu procedur w zakresie:
- sporządzenia i regularnej aktualizacji oceny ryzyka z uwzględnieniem takich czynników jak docelowi klienci, rodzaj transakcji oraz dostępne produkty i usługi,
- wdrożenie i stosowanie środków bezpieczeństwa finansowego proporcjonalnych do okoliczności,
- współpraca z GIIF w zakresie wymiany informacji,
- szkolenie pracowników w zakresie AML.
Brak spełnienia tych obowiązków wiąże się z ryzykiem wysokiej kary finansowej, nawet do 10% obrotu. Audyt w zakresie AML powinien być przeprowadzony jeszcze przed przejęciem spółki, a następnie cyklicznie ponawiany, ponieważ obowiązki w tym zakresie powinny być regularnie aktualizowane.
Warto pamiętać!
Specyfika instytucji płatniczych (zwłaszcza KIP) często jest związana ze świadczeniem usług na rzecz setek tysięcy klientów, niekiedy zlokalizowanych w różnych częściach globu. Dlatego do oceny AML należy podejść szczególnie poważnie, na co wielokrotnie zwracała uwagę European Banking Authority (warto zapoznać się z tym wystąpieniem: EBA REPORT ON ML/TF RISKS ASSOCIATED WITH PAYMENT INSTITUTIONS.
Dokumentacja RODO
Spółki działające w obszarze usług płatniczych są także administratorami danych osobowych lub działają jako podmiot przetwarzający (np. w przypadku agentów). Rozróżnienie ról ADO i procesora może mieć szczególne znaczenie w przypadku płatności za pośrednictwem karty płatniczej, ponieważ w tym łańcuchu występuje kilka różnych podmiotów, które mogą odgrywać jedną lub drugą rolę.
Naszym zadaniem jest zweryfikowanie compliance z przepisami RODO spółki oferującej usługi płatnicze. W czym możemy Ci pomóc?
- ocena umów powierzenia przetwarzania danych osobowych,
- audyt przekazania danych osobowych poza obszar EU/EOG,
- sporządzenie lub ewaluacja raportu DPIA z uwzględnieniem specyfiki procesów przetwarzania danych osobowych (w przypadku MIP i KIP DPIA jest obowiązkowe ze względu na wysokie ryzyko naruszenia danych osobowych dużej liczby podmiotów),
- współpraca z Prezesem Urzędu Ochrony Danych Osobowych w razie naruszenia integralności danych,
- ocena bezpieczeństwa danych osobowych od strony informatycznej,
- weryfikacja przeniesienia danych osobowych w związku z przejęciem lub przekształceniem podmiotu i powiadomienie o tym fakcie osób, których prawa dotyczą.
Dowiedz się więcej o outsourcingu funkcji IOD: https://rpms.pl/outsourcing-iod/.
Procedury związane z cyberbezpieczeństwem
Compliance instytucji działających w obszarze usług płatniczych to także aspekt cyberbezpieczeństwa. Zwracamy uwagę, aby wewnętrzne procedury były zgodne z przepisami NIS2, DORA i PSD2. Weryfikujemy zgodność z prawem takich kwestii jak silne uwierzytelnianie (SCA), zgodność ze standardami RTS, plany awaryjne IT, procedury zgłaszania incydentów, plany ciągłości działania, zarządzanie ryzykiem IT.
Jakie korzyści przynosi audyt due diligence w branży regulowanej?
Realizujemy zarówno audyty Due Diligence, jak i Vendor Due Diligence na potrzeby transakcji, które obejmują firmy z branży finansowej. Kompleksowa analiza otoczenia konkurencyjnego naszego klienta, a także dokumentacji tworzonej na potrzeby transakcji M&A pozwala nam:
- identyfikować ryzyko prawne, podatkowe i biznesowe, wyznaczać Red Flagi, których wystąpienie uzasadnia wstrzymanie transakcji,
- precyzyjnie wyliczyć racjonalną wartość transakcji tak, aby żadna ze stron nie przepłaciła, co mogłoby odbić się negatywnie na efektywności M&A,
- zapewnić pełne wsparcie i koordynację procesu fuzji lub przejęcia od strony formalnoprawnej,
- zapewnić formalną poprawność transakcji i wyeliminować ryzyko wysokich kar.
Realizujemy audyty Małych Instytucji Płatniczych, Krajowych Instytucji Płatniczych oraz dostawców usług w zakresie kryptowalut (CASP/VASP). Jeśli chcesz dowiedzieć się więcej o tym, jak działamy, przeczytaj więcej o naszym doświadczeniu w zakresie obsługi instytucji Fintech: https://rpms.pl/fintech-technologia-finansowa/
FAQ – Najczęściej zadawane pytania
Na czym polega zasada jednolitego paszportu?
Zasada jednolitego paszportu pozwala świadczyć instytucji, która uzyskała zezwolenie w jednym państwie, usługi na terenie całej Unii Europejskiej bez konieczności ubiegania się o odrębne zezwolenie. W ten sposób zagraniczne KIP mogą rozszerzyć działalność na Polskę bez potrzeby przechodzenia przez czasochłonny proces rejestracyjny.
Co dzieje się w przypadku przekroczenia obrotów MIP?
W przypadku przekroczenia średniej całkowitej kwoty transakcji płatniczych mała instytucja płatnicza musi zgłosić ten fakt do KNF, a następnie złożyć wniosek o przyznanie licencji KIP albo dostosować rozmiar prowadzonej działalności do ograniczeń MIP. Na każde z tych działań ustawodawca przewidział 30 dni.