Các tương tác giám sát trong năm đầu tiên thường mang tính quyết định. Đây là những quy luật chúng tôi quan sát được qua 24 dự án EMI.
Năm đầu tiên giám sát EMI
Cách tiếp cận giám sát của Ngân hàng Trung ương Litva (Bank of Lithuania) đối với các Tổ chức tiền điện tử (EMI) mới được cấp phép là tiến hành đợt thanh tra tại chỗ đầu tiên trong vòng 6–12 tháng kể từ khi cấp phép. Đợt thanh tra được xây dựng xoay quanh ba lĩnh vực: việc triển khai chương trình phòng chống rửa tiền/chống tài trợ khủng bố (AML/CFT), mức đủ vốn và bảo vệ tài sản khách hàng, cùng với quản trị và thuê ngoài. Các thanh tra viên của Ngân hàng Trung ương Litva có năng lực chuyên môn vững vàng và đã rà soát đủ nhiều hoạt động EMI để có thể ngay lập tức phân biệt giữa những chương trình thực sự được triển khai và những chương trình chỉ tồn tại trên giấy tờ nhưng chưa được đưa vào thực tiễn vận hành.
Phần lớn các phát hiện từ đợt thanh tra năm đầu tiên rơi vào hai nhóm: tồn đọng trong xử lý cảnh báo (alert-triage backlog) — khi EMI phát sinh nhiều cảnh báo hơn khả năng xử lý của đội ngũ tuân thủ trong thời hạn theo chính sách quy định, và thiếu sót hồ sơ trong việc đánh giá lại rủi ro khách hàng — khi EMI chưa đánh giá lại hồ sơ rủi ro khách hàng theo đúng tiêu chí đã cam kết trong phương pháp luận quản lý rủi ro của mình. Cả hai vấn đề đều có thể khắc phục được. Không vấn đề nào bị coi là phát hiện nghiêm trọng ngay từ lần đầu, miễn là EMI có thể chứng minh một kế hoạch khắc phục đáng tin cậy trong vòng 30 ngày kể từ khi nhận được báo cáo thanh tra.
Rà soát chương trình phòng chống rửa tiền (AML)
Các thanh tra viên rà soát chi tiết việc triển khai chương trình AML: phương pháp luận đánh giá rủi ro khách hàng trên giấy so với thực tế áp dụng; quy trình xử lý cảnh báo (thời gian từ khi phát sinh cảnh báo đến khi đóng hồ sơ, và liệu điều này có nằm trong cam kết theo chính sách hay không); hồ sơ nộp báo cáo giao dịch đáng ngờ/báo cáo giao dịch giá trị lớn (STR/CTR) (các báo cáo có được nộp trong thời hạn bắt buộc 3 ngày làm việc, với nội dung phản ánh phân tích thực chất hay không?); và bộ quy tắc giám sát giao dịch (có được hiệu chỉnh theo các mô hình giao dịch thực tế, hay chỉ là những mẫu chung tạo ra quá nhiều cảnh báo sai?).
Ngân hàng Trung ương Litva đặc biệt chú trọng đến việc đánh giá lại rủi ro khách hàng — quy trình theo đó khách hàng chuyển từ mức rủi ro thấp sang trung bình rồi cao khi các mô hình giao dịch của họ thay đổi. Các EMI thực hiện nghiêm túc quy trình nhận biết khách hàng (KYC) ban đầu nhưng sau đó không đánh giá lại hồ sơ rủi ro khách hàng theo các mốc thời gian đã định luôn bị nêu tên trong các phát hiện. Cam kết theo chính sách thường là “rà soát hàng năm đối với khách hàng rủi ro thấp, hàng quý đối với khách hàng rủi ro cao” — các thanh tra viên sẽ kiểm tra xem các đợt rà soát này có thực sự diễn ra và được ghi nhận đầy đủ hay không.
Các thanh tra viên của Ngân hàng Trung ương Litva biết rất rõ sự khác biệt giữa một chương trình AML được triển khai thực chất và một bộ hồ sơ chỉ rập khuôn theo mẫu. Những chương trình vượt qua được đợt thanh tra là những chương trình mà đội ngũ tuân thủ có thể trả lời các câu hỏi cụ thể về từng khách hàng và từng giao dịch cụ thể — chứ không chỉ đơn thuần chỉ vào một văn bản chính sách.GSS Legal — Bộ phận EMI và tuân thủ
Mức đủ vốn và bảo vệ tài sản khách hàng
Yêu cầu về vốn đối với EMI tại Litva là mức cao hơn giữa 350.000 EUR và kết quả tính toán theo phương pháp dựa trên khối lượng thanh toán. Điều mà các thanh tra viên xem xét không chỉ là liệu số vốn đó có tồn tại hay không, mà còn là liệu số vốn này có được nắm giữ dưới dạng các công cụ tài chính đủ điều kiện hay không, và liệu các báo cáo mức đủ vốn hàng quý nộp cho Ngân hàng Trung ương Litva có phản ánh chính xác kết quả tính toán thực tế hay không. Bảo vệ tài sản khách hàng — việc giữ tiền của khách hàng trong tài khoản ngân hàng được bảo vệ tách biệt hoặc đầu tư vào các tài sản thanh khoản an toàn — là lĩnh vực thường xuyên phát sinh vấn đề. Những sai sót phổ biến bao gồm: trộn lẫn giữa tiền vận hành và tiền được bảo vệ; tài khoản bảo vệ được mở tại ngân hàng có chất lượng tín dụng không đáp ứng kỳ vọng của Ngân hàng Trung ương Litva; và các lỗ hổng trong phạm vi bảo vệ trong các khung giờ thanh toán bù trừ trong ngày.
Thuê ngoài và quản trị
Hầu như mọi EMI đều thuê ngoài các chức năng vận hành quan trọng — bao gồm công nghệ, tuân thủ, hỗ trợ cán bộ báo cáo phòng chống rửa tiền (MLRO), và đôi khi cả dịch vụ khách hàng. Theo yêu cầu thuê ngoài của Ngân hàng Trung ương Litva dựa trên Chỉ thị Dịch vụ Thanh toán 2 (PSD2) và Hướng dẫn của Cơ quan Ngân hàng Châu Âu (EBA), các thỏa thuận thuê ngoài trọng yếu phải được lập thành văn bản, bao gồm điều khoản về quyền kiểm toán, và phải trải qua đánh giá rủi ro nhà cung cấp chính thức. Đợt thanh tra sẽ xem xét liệu sổ đăng ký thuê ngoài có được cập nhật hay không, liệu các đánh giá rủi ro nhà cung cấp có được thực hiện trong 12 tháng gần nhất hay không, và liệu các điều khoản về quyền kiểm toán đã được thực thi hay có thể thực thi một cách đáng tin cậy hay không.
Báo cáo giám sát
Các EMI tại Litva phải nộp: báo cáo mức đủ vốn hàng quý, báo cáo thống kê thanh toán hàng quý, báo cáo tài chính hàng năm, và các thông báo đột xuất đối với các sự kiện trọng yếu. Việc nộp báo cáo chậm trễ hoặc không chính xác là nguồn phát sinh liên tục các phát hiện ở mức độ nhẹ. Sai sót phổ biến nhất là báo cáo thống kê thanh toán hàng quý — báo cáo này đòi hỏi dữ liệu chi tiết hơn mức mà hầu hết hệ thống báo cáo của các EMI có thể tạo ra ngay từ đầu — nên thường bị chậm trễ hoặc thiếu chính xác trong năm đầu tiên, cho đến khi cơ sở hạ tầng báo cáo bắt kịp yêu cầu.
Quy luật qua 24 dự án
Qua 24 dự án EMI mà chúng tôi đồng hành trong giai đoạn giám sát năm đầu tiên, số lượng phát hiện trung bình tại đợt thanh tra đầu tiên là 3,2, không có phát hiện nghiêm trọng nào. Các phát hiện mức độ trung bình lặp lại liên tục gồm: tồn đọng xử lý cảnh báo (16/24 dự án), thiếu sót hồ sơ trong đánh giá lại rủi ro khách hàng (14/24), và thiếu sót trong sổ đăng ký thuê ngoài (9/24). Các lĩnh vực luôn đạt kết quả tốt gồm: tính toán mức đủ vốn (chỉ 2/24 dự án có phát hiện), cơ cấu sở hữu và quản trị (chỉ 1/24), và tính kịp thời trong nộp báo cáo STR/CTR (chỉ 3/24). Quy luật này cho thấy nên tập trung chuẩn bị trước thanh tra vào đâu: cơ sở hạ tầng quản lý cảnh báo và kỷ luật trong đánh giá lại rủi ro khách hàng là hai lĩnh vực mang lại hiệu quả đầu tư cao nhất.