Na temelju članka 15. točke 4. Zakona o Hrvatskoj agenciji za nadzor financijskih usluga (Narodne novine broj 140/05 i 12/12) i članka 47. stavka 7. Zakona o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024) Hrvatska agencija za nadzor financijskih usluga na sjednici Upravnog vijeća održanoj ____ donosi
SMJERNICE O ORGANIZACIJSKIM ZAHTJEVIMA PRUŽATELJA USLUGA POVEZANIH S KRIPTOIMOVINOM
1. Uvod
Člankom 68. stavkom 4. Uredbe (EU) 2023/1114 Europskog parlamenta I Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (dalje: MiCA Uredba) propisano je kako pružatelji usluga povezanih s kriptoimovinom donose politike i postupke koji su dovoljno učinkoviti kako bi se osigurala usklađenost s predmetnom Uredbom.
Člankom 20. Zakona o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024, dalje: Zakon o provedbi MiCA Uredbe) dodatno su propisani određeni zahtjevi sustava upravljanja pružatelja usluga povezanih s kriptoimovinom.
Člankom 73. MiCA Uredbe propisani su određeni zahtjevi vezani uz eksternalizaciju usluga ili aktivnosti za obavljanje operativnih funkcija pružatelja usluga povezanih s kriptoimovinom trećim stranama.
Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) donijela je 31. siječnja 2025. dokument Supervisory Briefing on Authorisation of CASPs under MiCA (ESMA75-453128700-1263).
S ciljem pravilne interpretacije zahtjeva iz citiranih propisa, kako bi se osigurala ujednačena primjena i shvaćanje predmetnih odredbi, Hrvatska agencija za nadzor financijskih usluga (dalje: Hanfa) donosi ove smjernice kojima se detaljnije razrađuju zahtjevi relevantne regulative u dijelu organizacijskih zahtjeva pružatelja usluga povezanih s kriptoimovinom.
2. Defincije
MiCA Uredba- Uredba (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937.
Zakon o provedbi MiCA Uredbe - Zakon o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024).
Hanfa - Hrvatska agencija za nadzor financijskih usluga.
Društvo – pružatelj usluga povezanih s kriptoimovinom iz članka 59. stavka 1. MiCA Uredbe kojem Hanfa izdaje odobrenje za rad u skladu sa Zakonom o provedbi MiCA Uredbe.
Ako nije drugačije naznačeno, ostali pojmovi korišteni u ovim smjernicama imaju značenje kako je definirano MiCA Uredbom i Zakonom o provedbi MiCA Uredbe.
3. Što uređuju ove smjernice i na koga se odnose?
S ciljem definiranja dobrih praksi i pravilne implementacije obaveza vezanih uz organizacijske zahtjeve pružatelja usluga povezanih s kriptoimovinom ove smjernice detaljnije pojašnjavaju i razrađuju zahtjeve relevantne regulative u dijelu sustava unutarnjih kontrola pružatelja usluga povezanih s kriptoimovinom i zahtjeve vezane uz eksternalizaciju usluga ili aktivnosti za obavljanje operativnih funkcija pružatelja usluga povezanih s kriptoimovinom trećim stranama, a u kontekstu pružanja usluga povezanih s kriptoimovinom.
Svrha smjernica je kreiranje dobrih i eliminacija loših poslovnih praksi, kao i podrška Hanfe razvoju tržišta kriptoimovine na način koji osigurava stabilnost poslovanja pružatelja usluga povezanih s kriptoimovinom, kao i odgovarajuću razinu zaštite interesa ulagatelja u kriptoimovinu.
Smjernice se odnose na pružatelje usluga povezanih s kriptoimovinom iz članka 59. stavka 1. MiCA Uredbe kojima Hanfa izdaje odobrenje za rad u skladu sa Zakonom o provedbi MiCA Uredbe. (dalje: Društva). Ostali pružatelji usluga povezanih s kriptoimovinom primjenjuju organizacijske zahtjeve kako je propisano sektorskim propisima koji uređuju poslovanje tih subjekata.
4. Sustav unutarnjih kontrola Društva
Sustav unutarnjih kontrola Društva uključuje funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije.
Društva bi trebala osigurati da odgovornost za funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije trajno leži na Društvu, koje je zaduženo za praćenje vlastitih rizika neusklađenosti.
Kombiniranje funkcije upravljanja rizicima ili praćenja usklađenosti s funkcijom interne revizije može se koristiti samo u iznimnim slučajevima, ako Društvo može dokazati da time nije bitno narušena njihova učinkovitost i neovisnost.
Za manja Društva ili Društva nižeg profila rizika, funkcije upravljanja rizicima i praćenja usklađenosti mogu se kombinirati ako bi njihovo odvojeno ustrojavanje bilo nesrazmjerno opsegu i složenosti njihovih poslovnih aktivnosti, pod uvjetom da time nije bitno narušena njihova učinkovitost i neovisnost.
Društva bi trebala osigurati da sustav unutarnjih kontrola Društva omogućuje odgovarajuću identifikaciju, procjenu i ublažavanje rizika od pranja novca i financiranja terorizma.
Sustav unutarnjih kontrola trebao bi uključivati dobro definiranu strukturu zajedno s jasnim ulogama i linijama odgovornosti. Najmanje jedan član uprave mora biti odgovoran za rad, održavanje i praćenje funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije kako bi se osigurao učinkovit nadzor nad tim funkcijama. Trebala bi se uspostaviti odgovarajuća podjela dužnosti kako bi se osiguralo da se sukobljeni zadaci i aktivnosti ne dodjeljuju istoj osobi ili funkciji.
Sustav unutarnjih kontrola trebao bi obuhvaćati cijelu organizaciju, pokrivajući aktivnosti (uključujući regulirane aktivnosti) svih poslovnih linija i unutarnjih jedinica. Sustav unutarnjih kontrola trebao bi obuhvatiti i aktivnosti koje su izdvojene na vanjske pružatelje kako bi se osiguralo da se na aranžmane o izdvajanju poslovnih procesa primjenjuju odgovarajuće kontrole i nadzor.
Društva bi trebala uspostaviti sveobuhvatne politike i postupke za praćenje usklađenosti, internu reviziju (ako je potrebno) i upravljanje rizicima, uključujući dodijeljene uloge i odgovornosti te interne politike/procedure. Ove politike i procedure moraju uključivati odredbe o periodičnim pregledima i ažuriranjima kada je to potrebno kako bi se odrazile promjene u regulatornom okruženju i poslovnim procesima.
Politike, procedure i postupci Društva trebali bi osigurati podnošenje pisanih izvještaja o rizicima, usklađenosti i nalazima interne revizije upravi najmanje jednom godišnje, a po potrebi i češće (ad hoc). Društva bi trebala uspostaviti mehanizme kako bi se osiguralo da se godišnji izvještaji unutarnjih kontrola podnesu i nadzornom odboru Društva kada je primjenjivo.
4.1. Okvir upravljanja rizicima
Okvir upravljanja rizicima trebao bi uključivati sveobuhvatne politike, postupke, pojasniti apetit za rizikom te uspostaviti ograničenja i kontrole kako bi se osigurala učinkovita i kontinuirana identifikacija, mjerenje, procjena, praćenje, upravljanje, ublažavanje, izvještavanje o rizicima i preispitivanje okvira upravljanja rizicima.
Okvir upravljanja rizicima trebao bi sadržavati:
1. Uloge i odgovornosti: Društva bi trebala odrediti ključno osoblje, uključujući upravitelje rizicima, službenike za usklađenost i interne revizore (ako je potrebno), svaki sa specifičnim dužnostima i odgovornostima. Vlasnici rizika trebaju biti jasno definirani za upravljanje specifičnim identificiranim rizicima, provedbu i održavanje odgovarajućih kontrola rizika. Odgovornosti funkcije upravljanja rizicima i interne revizije također bi trebale biti jasno definirane. Unutar Društva trebalo bi osigurati dovoljno zaposlenika za učinkovito upravljanje i nadzor rizika outsourcinga.
2. Definiciju apetita za rizikom: Društva bi trebala imati jasno definiran apetit za rizikom, koji odražava razinu rizika koju je Društvo spremno prihvatiti u skladu sa svojim strateškim ciljevima. Taj apetit može se definirati u smislu pragova tolerancije rizika i prihvatljivih razina ili ograničenja rizika.
3. Identifikaciju rizika: treba obuhvaćati ne samo rizike integriteta (kao što su sprječavanje pranja novca/financiranja terorizma i prijevare), već i IKT, operativne, tržišne, pravne rizike, rizike usklađenosti, sukobe interesa i druge relevantne rizike u skladu sa svim namjeravanim uslugama povezanim s kriptoimovinom. Proces identifikacije rizika trebao bi se baviti rizicima na različitim razinama, uključujući pojedinačne poslovne linije i cjelokupno Društvo, zajedno s izdvojenim aktivnostima. Društva bi trebala voditi registar rizika kako bi sustavno bilježila identificirane rizike i poduzete mjere za njihovo upravljanje i ublažavanje.
4. Procjenu rizika: Društva bi trebala uspostaviti detaljne pristupe za procjenu rizika, uključujući kvalitativne i kvantitativne metode. Ove metodologije mogu uključivati matrice rizika, analizu scenarija ili testiranje otpornosti na stres i statističke modele kako bi se osigurala sveobuhvatna procjena. Rizici bi trebali biti kategorizirani u različite stupnjeve, kao što su npr. visoki, srednji ili niski, na temelju njihove prirode i utjecaja. Društva bi trebala razviti i koristiti kvalitetne alate za upravljanje rizicima.
5. Upravljanje rizicima: Društva bi trebala razviti specifične mjere i strategije ublažavanja rizika kako bi smanjila ili kontrolirala izloženost riziku. Za svaki pojedinačni identificirani rizik, Društva bi trebala razviti ciljane mjere usmjerene na smanjenje vjerojatnosti ili utjecaja tog specifičnog rizika zajedno s imenovanjem vlasnika rizika koji ima ovlaštenje i dovoljno znanja u području upravljanja rizicima.
6. Praćenje i izvještavanje: Društva bi trebala implementirati sustave i procese za kontinuirano praćenje aktivnosti upravljanja rizicima. Okvir za upravljanje rizicima trebao bi uključivati postupke za redovito izvještavanje o statusu rizika i aktivnostima upravljanja rizicima upravi Društva. Izvještavanje upravi Društva također bi trebala uključivati predložene odgovarajuće mjere za ublažavanje rizika.
7. Preispitivanje: Društva bi trebala provoditi sveobuhvatnu procjenu okvira za upravljanje rizicima barem jednom godišnje. Ova procjena trebala bi procijeniti učinkovitost, relevantnost i adekvatnost okvira u rješavanju novih rizika u skladu sa strategijom rizika i apetitom za rizikom Društva. Opseg procjene trebao bi uključivati preispitivanje ključnih procesa upravljanja rizicima, kontrola i postupaka, kao i povratne informacije od relevantnih dionika. Osim toga, procjena bi trebala uzeti u obzir sve značajne promjene u operativnom okruženju, regulatornim zahtjevima ili profilu rizika kako bi se utvrdilo jesu li potrebne prilagodbe.
4.2. Funkcija praćenja usklađenosti
Funkcija praćenja usklađenosti trebala bi osigurati da se Društvo pridržava vanjskih i unutarnjih pravila. Snažna, neovisna funkcija praćenja usklađenosti može ublažiti rizike povezane s nezakonitim ponašanjem, pranjem novca i drugim oblicima neusklađenosti.
Funkcija praćenja usklađenosti trebala bi imati sljedeće:
1. Uloge i odgovornosti: Funkcija praćenja usklađenosti trebala bi imati adekvatno ovlaštenje i jasne radne aranžmane s drugim dionicima. Funkcija praćenja usklađenosti bi, na primjer, trebala biti uključena u ključno strateško donošenje odluka kao što je izbor suradnje s trećim stranama i odabir kriptoimovine u odnosu na koju će se pružati usluge. Funkcija praćenja usklađenosti trebala bi imati dovoljnu neovisnost, kapacitet i kompetencije za ispunjavanje svojih zadaća. Društva bi trebala imenovati barem jednu osobu za funkciju praćenja usklađenosti (voditelja usklađenosti ili službenika za usklađenost). Iznimno, gdje imenovanje namjenskog voditelja usklađenosti/službenika za usklađenost očito nije proporcionalno poslovnim aktivnostima, ova se uloga može kombinirati sa funkcijom upravljanja rizicima.
2. Plan usklađenosti: Društva bi trebala donositi godišnje ažurirane planove s odgovarajućim aktivnostima funkcije praćenja usklađenosti s obzirom na prirodu, opseg i složenost poslovnih aktivnosti. Funkcija praćenja usklađenosti trebala bi imati dovoljno ovlasti i odgovarajuće resurse za obavljanje tih aktivnosti.
3. Praćenje i izvještavanje: Funkcija praćenja usklađenosti identificira, procjenjuje, savjetuje, prati i izvještava o riziku usklađenosti Društva. Funkcija praćenja usklađenosti trebala bi koristiti kvalitetne alate za praćenje usklađenosti. Funkcija praćenja usklađenosti trebala bi podnositi redovita izvješća, barem upravi Društva, a trebao bi postojati postupak eskalacije koji bi omogućio podnošenje izvješća i nadzornom odboru Društva kada je primjenjivo.
4. Evaluacija: Društva bi trebala periodično (najmanje svake godine ili kada dođe do značajne promjene u sastavu i/ili strukturi) procijeniti je li funkcija praćenja usklađenosti učinkovita i jesu li potrebne bilo kakve prilagodbe u budućnosti.
5. Eksternalizacija
5.1. Osnovna načela/minimalni standardi
Aranžmani o eksternalizaciji ne bi trebali uključivati delegiranje funkcija/usluga u mjeri u kojoj bi se Društvo svelo na „poštanski sandučić“ (eng. letter-box entity).
Za procjenu rizika trećih strana u vezi s informacijsko komunikacijskom tehnologijom (ICT), Društva bi trebala poštivati zahtjeve Uredbe DORA.
Eksternalizacija u jurisdikcije u kojima Hanfa ne bi mogla dobiti informacije od subjekta kojem se posao eksternalizira nije u skladu s člankom 73(1)(d) MICA Uredbe.
Društva bi trebala biti u mogućnosti dokazati učinkovitu kontrolu nad aktivnostima koje su eksternalizirala vanjskim izvođačima. Između ostalog, to bi se trebalo dokazati odgovarajućim brojem zaposlenika, tj. dovoljnim brojem zaposlenika koji odražava razinu eksternalizacije, kao i odgovarajućim vještinama i iskustvu zaposlenika unutar Društva za učinkovito upravljanje i nadzor rizika eksternalizacije.
U slučajevima kada Društva namjeravaju prepustiti funkcije/usluge subjektima unutar iste grupe, Društvo treba napraviti dubinsku analizu i uvjeriti se da je odabir subjekta iz grupe utemeljen na objektivnim razlozima, pri čemu eksternalizacija subjektima unutar grupe ne bi smjela utjecati značajno na sposobnost donošenja autonomnih odluka o aktivnostima Društva. Najbolji interes aktivnosti Društva trebao bi biti na prvom mjestu, a ne prilagođavanje istih kako bi koristile drugim subjektima unutar grupe kojima se usluga eksternalizira.
5.2. Osiguravanje da eksternalizacija ne rezultira delegiranjem odgovornosti Društva (članak 73(1)(a) MiCA Uredbe)
Kako bi se osiguralo da eksternalizacija ne rezultira delegiranjem odgovornosti od strane Društva, Društva trebaju uzeti u obzir:
1. Usluge/aktivnosti koje se eksternaliziraju i njihovu kritičnost za funkcioniranje Društva (Društva trebaju primjenjivati DORA Uredbu kada to uključuje ICT usluge).
2. Razinu kontrole koju Društvo može provoditi nad subjektima s kojima surađuje. Tamo gdje je takva kontrola ograničena do te mjere da Društvo nije u mogućnosti učinkovito nadzirati eksternalizaciju usluge ili nije u mogućnosti upravljati rizicima povezanim s eksternalizacijom, Društva ne bi trebala prihvatiti takav aranžman.
3. Jurisdikcije u koje se eksternalizira posao i opseg u kojem one sprječavaju regulatora u izvršavanju njegovih nadzornih ovlasti (u vezi s člankom 73(1)(d) Uredbe MiCA).
4. Daju li subjekti kojima se posao/aktivnosti eksternaliziraju te poslove/aktivnosti u pod-eksternalizaciju za kritične i važne operativne funkcije koje se pružaju Društvu. U tom slučaju, može doći do većeg rizika neadekvatnog nadzora i kontrole na razini Društva.
5. Imaju li Društva jasno razumijevanje pod-eksternalizacije. Kako bi se osigurao dobar uvid u cijeli lanac, ugovor o eksternalizaciji trebao bi osigurati da Društvo ima svijest o pod-eksternaliziranju i kontrolu nad njim.
Postoji rizik da jedna osoba nema dovoljno znanja, iskustva i vremena za učinkovito praćenje šireg raspona eksternaliziranih usluga/funkcija, stoga bi Društva trebala kritički razmotriti dodjeljivanje praćenja niza eksternaliziranih funkcija jednoj osobi. Društva bi trebala osigurati da to ne stvara dodatne rizike za stabilnost ili kontinuitet usluga ili za zaštitu ulagatelja/integritet tržišta.
5.3. Osiguravanje da eksternalizacija ne sprječava obavljanje nadzornih funkcija Hanfe
U nekim slučajevima, eksternalizacija na subjekt iz treće zemlje može zahtijevati prethodno potpisivanje sporazuma o suradnji između Hanfe i nadzornog tijela te treće zemlje.
Društva moraju ispunjavati zahtjeve upravljanja i moraju učinkovito kontrolirati aktivnosti koje su prepuštene vanjskim izvođačima ili eksternalizirane. To uključuje posjedovanje tehničkog znanja za zahtijevanje promjena, praćenje implementacije i procjenu kvalitete usluge, tj. osoba izravno zaposlena od strane Društva, odgovorna za specifične aktivnosti koje su prepuštene vanjskim izvođačima, trebala bi imati dovoljno znanja/stručnosti o aktivnosti ili aktivnostima koje su prepuštene vanjskim izvođačima kako bi se omogućilo učinkovito praćenje i kontrola.
Hanfa treba imati učinkovit pristup svim relevantnim podacima i poslovnim prostorima povezanim s aktivnostima koje su prepuštene vanjskim izvođačima ili eksternalizirane.
5.4. Eksternalizacija vrlo bitnih funkcija
Neke aktivnosti Društva, kao što su interna kontrola, IT kontrola, procjena rizika, praćenje usklađenosti, upravljanje ključevima i neke druge vrlo bitne funkcije zahtijevaju posebnu kontrolu. Iako se određeni elementi takvih aktivnosti mogu prepustiti vanjskim suradnicima, prepuštanje tih aktivnosti vanjskim suradnicima ne može biti prihvatljivo ako ugrožava aktivnosti Društva i učinkovit nadzor Hanfe.
5.5. Postupanje s osobljem izvan zemlje
Korištenje osoblja izvan zemlje je prihvatljivo u određenoj mjeri, ali potencijalno može narušiti sposobnost Društva da osigura kontinuitet i redovitost u obavljanju svojih usluga vezanih uz kriptoimovinu. Pri zapošljavanju osoblja izvan zemlje Društvo treba voditi računa o ograničenjima i potencijalnim rizicima ovisno o ulogama osoblja izvan zemlje i/ili koncentraciji takvog osoblja na određenim funkcijama.
U svakom slučaju, korištenje osoblja izvan zemlje ne bi trebalo:
spriječiti obavljanje nadzornih funkcija Hanfe;
spriječiti brz pristup relevantnim informacijama od strane Hanfe;
spriječiti upravu da vrši učinkovitu kontrolu nad osobljem izvan zemlje;
potkopavati sposobnost Društva da posluje kontinuirano i redovito.
6. Prijelazne i završne odredbe
Ove smjernice se objavljuju na internetskoj stranici Hanfe te stupaju na snagu danom objave.
Na temelju članka 15. točke 4. Zakona o Hrvatskoj agenciji za nadzor financijskih usluga (Narodne novine broj 140/05 i 12/12) i članka 47. stavka 7. Zakona o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024) Hrvatska agencija za nadzor financijskih usluga na sjednici Upravnog vijeća održanoj ____ donosi
SMJERNICE O ORGANIZACIJSKIM ZAHTJEVIMA PRUŽATELJA USLUGA POVEZANIH S KRIPTOIMOVINOM
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
1. Uvod
Člankom 68. stavkom 4. Uredbe (EU) 2023/1114 Europskog parlamenta I Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937 (dalje: MiCA Uredba) propisano je kako pružatelji usluga povezanih s kriptoimovinom donose politike i postupke koji su dovoljno učinkoviti kako bi se osigurala usklađenost s predmetnom Uredbom.
Člankom 20. Zakona o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024, dalje: Zakon o provedbi MiCA Uredbe) dodatno su propisani određeni zahtjevi sustava upravljanja pružatelja usluga povezanih s kriptoimovinom.
Člankom 73. MiCA Uredbe propisani su određeni zahtjevi vezani uz eksternalizaciju usluga ili aktivnosti za obavljanje operativnih funkcija pružatelja usluga povezanih s kriptoimovinom trećim stranama.
Europsko nadzorno tijelo za vrijednosne papire i tržišta kapitala (ESMA) donijela je 31. siječnja 2025. dokument Supervisory Briefing on Authorisation of CASPs under MiCA (ESMA75-453128700-1263).
S ciljem pravilne interpretacije zahtjeva iz citiranih propisa, kako bi se osigurala ujednačena primjena i shvaćanje predmetnih odredbi, Hrvatska agencija za nadzor financijskih usluga (dalje: Hanfa) donosi ove smjernice kojima se detaljnije razrađuju zahtjevi relevantne regulative u dijelu organizacijskih zahtjeva pružatelja usluga povezanih s kriptoimovinom.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
2. Defincije
MiCA Uredba - Uredba (EU) 2023/1114 Europskog parlamenta i Vijeća od 31. svibnja 2023. o tržištima kriptoimovine i izmjeni uredaba (EU) br. 1093/2010 i (EU) br. 1095/2010 te direktiva 2013/36/EU i (EU) 2019/1937.
Zakon o provedbi MiCA Uredbe - Zakon o provedbi Uredbe (EU) 2023/1114 o tržištima kriptoimovine (Narodne novine broj 85/2024).
Hanfa - Hrvatska agencija za nadzor financijskih usluga.
Društvo – pružatelj usluga povezanih s kriptoimovinom iz članka 59. stavka 1. MiCA Uredbe kojem Hanfa izdaje odobrenje za rad u skladu sa Zakonom o provedbi MiCA Uredbe.
Ako nije drugačije naznačeno, ostali pojmovi korišteni u ovim smjernicama imaju značenje kako je definirano MiCA Uredbom i Zakonom o provedbi MiCA Uredbe.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
3. Što uređuju ove smjernice i na koga se odnose?
S ciljem definiranja dobrih praksi i pravilne implementacije obaveza vezanih uz organizacijske zahtjeve pružatelja usluga povezanih s kriptoimovinom ove smjernice detaljnije pojašnjavaju i razrađuju zahtjeve relevantne regulative u dijelu sustava unutarnjih kontrola pružatelja usluga povezanih s kriptoimovinom i zahtjeve vezane uz eksternalizaciju usluga ili aktivnosti za obavljanje operativnih funkcija pružatelja usluga povezanih s kriptoimovinom trećim stranama, a u kontekstu pružanja usluga povezanih s kriptoimovinom.
Svrha smjernica je kreiranje dobrih i eliminacija loših poslovnih praksi, kao i podrška Hanfe razvoju tržišta kriptoimovine na način koji osigurava stabilnost poslovanja pružatelja usluga povezanih s kriptoimovinom, kao i odgovarajuću razinu zaštite interesa ulagatelja u kriptoimovinu.
Smjernice se odnose na pružatelje usluga povezanih s kriptoimovinom iz članka 59. stavka 1. MiCA Uredbe kojima Hanfa izdaje odobrenje za rad u skladu sa Zakonom o provedbi MiCA Uredbe. (dalje: Društva). Ostali pružatelji usluga povezanih s kriptoimovinom primjenjuju organizacijske zahtjeve kako je propisano sektorskim propisima koji uređuju poslovanje tih subjekata.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
4. Sustav unutarnjih kontrola Društva
Sustav unutarnjih kontrola Društva uključuje funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije.
Društva bi trebala osigurati da odgovornost za funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije trajno leži na Društvu, koje je zaduženo za praćenje vlastitih rizika neusklađenosti.
Kombiniranje funkcije upravljanja rizicima ili praćenja usklađenosti s funkcijom interne revizije može se koristiti samo u iznimnim slučajevima, ako Društvo može dokazati da time nije bitno narušena njihova učinkovitost i neovisnost.
Za manja Društva ili Društva nižeg profila rizika, funkcije upravljanja rizicima i praćenja usklađenosti mogu se kombinirati ako bi njihovo odvojeno ustrojavanje bilo nesrazmjerno opsegu i složenosti njihovih poslovnih aktivnosti, pod uvjetom da time nije bitno narušena njihova učinkovitost i neovisnost.
Društva bi trebala osigurati da sustav unutarnjih kontrola Društva omogućuje odgovarajuću identifikaciju, procjenu i ublažavanje rizika od pranja novca i financiranja terorizma.
Sustav unutarnjih kontrola trebao bi uključivati dobro definiranu strukturu zajedno s jasnim ulogama i linijama odgovornosti. Najmanje jedan član uprave mora biti odgovoran za rad, održavanje i praćenje funkcije upravljanja rizicima, praćenja usklađenosti i interne revizije kako bi se osigurao učinkovit nadzor nad tim funkcijama. Trebala bi se uspostaviti odgovarajuća podjela dužnosti kako bi se osiguralo da se sukobljeni zadaci i aktivnosti ne dodjeljuju istoj osobi ili funkciji.
Sustav unutarnjih kontrola trebao bi obuhvaćati cijelu organizaciju, pokrivajući aktivnosti (uključujući regulirane aktivnosti) svih poslovnih linija i unutarnjih jedinica. Sustav unutarnjih kontrola trebao bi obuhvatiti i aktivnosti koje su izdvojene na vanjske pružatelje kako bi se osiguralo da se na aranžmane o izdvajanju poslovnih procesa primjenjuju odgovarajuće kontrole i nadzor.
Društva bi trebala uspostaviti sveobuhvatne politike i postupke za praćenje usklađenosti, internu reviziju (ako je potrebno) i upravljanje rizicima, uključujući dodijeljene uloge i odgovornosti te interne politike/procedure. Ove politike i procedure moraju uključivati odredbe o periodičnim pregledima i ažuriranjima kada je to potrebno kako bi se odrazile promjene u regulatornom okruženju i poslovnim procesima.
Politike, procedure i postupci Društva trebali bi osigurati podnošenje pisanih izvještaja o rizicima, usklađenosti i nalazima interne revizije upravi najmanje jednom godišnje, a po potrebi i češće (ad hoc). Društva bi trebala uspostaviti mehanizme kako bi se osiguralo da se godišnji izvještaji unutarnjih kontrola podnesu i nadzornom odboru Društva kada je primjenjivo.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
4.1. Okvir upravljanja rizicima
Okvir upravljanja rizicima trebao bi uključivati sveobuhvatne politike, postupke, pojasniti apetit za rizikom te uspostaviti ograničenja i kontrole kako bi se osigurala učinkovita i kontinuirana identifikacija, mjerenje, procjena, praćenje, upravljanje, ublažavanje, izvještavanje o rizicima i preispitivanje okvira upravljanja rizicima.
Okvir upravljanja rizicima trebao bi sadržavati:
1. Uloge i odgovornosti: Društva bi trebala odrediti ključno osoblje, uključujući upravitelje rizicima, službenike za usklađenost i interne revizore (ako je potrebno), svaki sa specifičnim dužnostima i odgovornostima. Vlasnici rizika trebaju biti jasno definirani za upravljanje specifičnim identificiranim rizicima, provedbu i održavanje odgovarajućih kontrola rizika. Odgovornosti funkcije upravljanja rizicima i interne revizije također bi trebale biti jasno definirane. Unutar Društva trebalo bi osigurati dovoljno zaposlenika za učinkovito upravljanje i nadzor rizika outsourcinga.
2. Definiciju apetita za rizikom: Društva bi trebala imati jasno definiran apetit za rizikom, koji odražava razinu rizika koju je Društvo spremno prihvatiti u skladu sa svojim strateškim ciljevima. Taj apetit može se definirati u smislu pragova tolerancije rizika i prihvatljivih razina ili ograničenja rizika.
3. Identifikaciju rizika: treba obuhvaćati ne samo rizike integriteta (kao što su sprječavanje pranja novca/financiranja terorizma i prijevare), već i IKT, operativne, tržišne, pravne rizike, rizike usklađenosti, sukobe interesa i druge relevantne rizike u skladu sa svim namjeravanim uslugama povezanim s kriptoimovinom. Proces identifikacije rizika trebao bi se baviti rizicima na različitim razinama, uključujući pojedinačne poslovne linije i cjelokupno Društvo, zajedno s izdvojenim aktivnostima. Društva bi trebala voditi registar rizika kako bi sustavno bilježila identificirane rizike i poduzete mjere za njihovo upravljanje i ublažavanje.
4. Procjenu rizika: Društva bi trebala uspostaviti detaljne pristupe za procjenu rizika, uključujući kvalitativne i kvantitativne metode. Ove metodologije mogu uključivati matrice rizika, analizu scenarija ili testiranje otpornosti na stres i statističke modele kako bi se osigurala sveobuhvatna procjena. Rizici bi trebali biti kategorizirani u različite stupnjeve, kao što su npr. visoki, srednji ili niski, na temelju njihove prirode i utjecaja. Društva bi trebala razviti i koristiti kvalitetne alate za upravljanje rizicima.
5. Upravljanje rizicima: Društva bi trebala razviti specifične mjere i strategije ublažavanja rizika kako bi smanjila ili kontrolirala izloženost riziku. Za svaki pojedinačni identificirani rizik, Društva bi trebala razviti ciljane mjere usmjerene na smanjenje vjerojatnosti ili utjecaja tog specifičnog rizika zajedno s imenovanjem vlasnika rizika koji ima ovlaštenje i dovoljno znanja u području upravljanja rizicima.
6. Praćenje i izvještavanje: Društva bi trebala implementirati sustave i procese za kontinuirano praćenje aktivnosti upravljanja rizicima. Okvir za upravljanje rizicima trebao bi uključivati postupke za redovito izvještavanje o statusu rizika i aktivnostima upravljanja rizicima upravi Društva. Izvještavanje upravi Društva također bi trebala uključivati predložene odgovarajuće mjere za ublažavanje rizika.
7. Preispitivanje: Društva bi trebala provoditi sveobuhvatnu procjenu okvira za upravljanje rizicima barem jednom godišnje. Ova procjena trebala bi procijeniti učinkovitost, relevantnost i adekvatnost okvira u rješavanju novih rizika u skladu sa strategijom rizika i apetitom za rizikom Društva. Opseg procjene trebao bi uključivati preispitivanje ključnih procesa upravljanja rizicima, kontrola i postupaka, kao i povratne informacije od relevantnih dionika. Osim toga, procjena bi trebala uzeti u obzir sve značajne promjene u operativnom okruženju, regulatornim zahtjevima ili profilu rizika kako bi se utvrdilo jesu li potrebne prilagodbe.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
4.2. Funkcija praćenja usklađenosti
Funkcija praćenja usklađenosti trebala bi osigurati da se Društvo pridržava vanjskih i unutarnjih pravila. Snažna, neovisna funkcija praćenja usklađenosti može ublažiti rizike povezane s nezakonitim ponašanjem, pranjem novca i drugim oblicima neusklađenosti.
Funkcija praćenja usklađenosti trebala bi imati sljedeće:
1. Uloge i odgovornosti: Funkcija praćenja usklađenosti trebala bi imati adekvatno ovlaštenje i jasne radne aranžmane s drugim dionicima. Funkcija praćenja usklađenosti bi, na primjer, trebala biti uključena u ključno strateško donošenje odluka kao što je izbor suradnje s trećim stranama i odabir kriptoimovine u odnosu na koju će se pružati usluge. Funkcija praćenja usklađenosti trebala bi imati dovoljnu neovisnost, kapacitet i kompetencije za ispunjavanje svojih zadaća. Društva bi trebala imenovati barem jednu osobu za funkciju praćenja usklađenosti (voditelja usklađenosti ili službenika za usklađenost). Iznimno, gdje imenovanje namjenskog voditelja usklađenosti/službenika za usklađenost očito nije proporcionalno poslovnim aktivnostima, ova se uloga može kombinirati sa funkcijom upravljanja rizicima.
2. Plan usklađenosti: Društva bi trebala donositi godišnje ažurirane planove s odgovarajućim aktivnostima funkcije praćenja usklađenosti s obzirom na prirodu, opseg i složenost poslovnih aktivnosti. Funkcija praćenja usklađenosti trebala bi imati dovoljno ovlasti i odgovarajuće resurse za obavljanje tih aktivnosti.
3. Praćenje i izvještavanje: Funkcija praćenja usklađenosti identificira, procjenjuje, savjetuje, prati i izvještava o riziku usklađenosti Društva. Funkcija praćenja usklađenosti trebala bi koristiti kvalitetne alate za praćenje usklađenosti. Funkcija praćenja usklađenosti trebala bi podnositi redovita izvješća, barem upravi Društva, a trebao bi postojati postupak eskalacije koji bi omogućio podnošenje izvješća i nadzornom odboru Društva kada je primjenjivo.
4. Evaluacija: Društva bi trebala periodično (najmanje svake godine ili kada dođe do značajne promjene u sastavu i/ili strukturi) procijeniti je li funkcija praćenja usklađenosti učinkovita i jesu li potrebne bilo kakve prilagodbe u budućnosti.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5. Eksternalizacija
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5.1. Osnovna načela/minimalni standardi
Aranžmani o eksternalizaciji ne bi trebali uključivati delegiranje funkcija/usluga u mjeri u kojoj bi se Društvo svelo na „poštanski sandučić“ ( eng. letter-box entity ).
Za procjenu rizika trećih strana u vezi s informacijsko komunikacijskom tehnologijom (ICT), Društva bi trebala poštivati zahtjeve Uredbe DORA.
Eksternalizacija u jurisdikcije u kojima Hanfa ne bi mogla dobiti informacije od subjekta kojem se posao eksternalizira nije u skladu s člankom 73(1)(d) MICA Uredbe.
Društva bi trebala biti u mogućnosti dokazati učinkovitu kontrolu nad aktivnostima koje su eksternalizirala vanjskim izvođačima. Između ostalog, to bi se trebalo dokazati odgovarajućim brojem zaposlenika, tj. dovoljnim brojem zaposlenika koji odražava razinu eksternalizacije, kao i odgovarajućim vještinama i iskustvu zaposlenika unutar Društva za učinkovito upravljanje i nadzor rizika eksternalizacije.
U slučajevima kada Društva namjeravaju prepustiti funkcije/usluge subjektima unutar iste grupe, Društvo treba napraviti dubinsku analizu i uvjeriti se da je odabir subjekta iz grupe utemeljen na objektivnim razlozima, pri čemu eksternalizacija subjektima unutar grupe ne bi smjela utjecati značajno na sposobnost donošenja autonomnih odluka o aktivnostima Društva. Najbolji interes aktivnosti Društva trebao bi biti na prvom mjestu, a ne prilagođavanje istih kako bi koristile drugim subjektima unutar grupe kojima se usluga eksternalizira.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5.2. Osiguravanje da eksternalizacija ne rezultira delegiranjem odgovornosti Društva (članak 73(1)(a) MiCA Uredbe)
Kako bi se osiguralo da eksternalizacija ne rezultira delegiranjem odgovornosti od strane Društva, Društva trebaju uzeti u obzir:
1. Usluge/aktivnosti koje se eksternaliziraju i njihovu kritičnost za funkcioniranje Društva (Društva trebaju primjenjivati DORA Uredbu kada to uključuje ICT usluge).
2. Razinu kontrole koju Društvo može provoditi nad subjektima s kojima surađuje. Tamo gdje je takva kontrola ograničena do te mjere da Društvo nije u mogućnosti učinkovito nadzirati eksternalizaciju usluge ili nije u mogućnosti upravljati rizicima povezanim s eksternalizacijom, Društva ne bi trebala prihvatiti takav aranžman.
3. Jurisdikcije u koje se eksternalizira posao i opseg u kojem one sprječavaju regulatora u izvršavanju njegovih nadzornih ovlasti (u vezi s člankom 73(1)(d) Uredbe MiCA).
4. Daju li subjekti kojima se posao/aktivnosti eksternaliziraju te poslove/aktivnosti u pod-eksternalizaciju za kritične i važne operativne funkcije koje se pružaju Društvu. U tom slučaju, može doći do većeg rizika neadekvatnog nadzora i kontrole na razini Društva.
5. Imaju li Društva jasno razumijevanje pod-eksternalizacije. Kako bi se osigurao dobar uvid u cijeli lanac, ugovor o eksternalizaciji trebao bi osigurati da Društvo ima svijest o pod-eksternaliziranju i kontrolu nad njim.
Postoji rizik da jedna osoba nema dovoljno znanja, iskustva i vremena za učinkovito praćenje šireg raspona eksternaliziranih usluga/funkcija, stoga bi Društva trebala kritički razmotriti dodjeljivanje praćenja niza eksternaliziranih funkcija jednoj osobi. Društva bi trebala osigurati da to ne stvara dodatne rizike za stabilnost ili kontinuitet usluga ili za zaštitu ulagatelja/integritet tržišta.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5.3. Osiguravanje da eksternalizacija ne sprječava obavljanje nadzornih funkcija Hanfe
U nekim slučajevima, eksternalizacija na subjekt iz treće zemlje može zahtijevati prethodno potpisivanje sporazuma o suradnji između Hanfe i nadzornog tijela te treće zemlje.
Društva moraju ispunjavati zahtjeve upravljanja i moraju učinkovito kontrolirati aktivnosti koje su prepuštene vanjskim izvođačima ili eksternalizirane. To uključuje posjedovanje tehničkog znanja za zahtijevanje promjena, praćenje implementacije i procjenu kvalitete usluge, tj. osoba izravno zaposlena od strane Društva, odgovorna za specifične aktivnosti koje su prepuštene vanjskim izvođačima, trebala bi imati dovoljno znanja/stručnosti o aktivnosti ili aktivnostima koje su prepuštene vanjskim izvođačima kako bi se omogućilo učinkovito praćenje i kontrola.
Hanfa treba imati učinkovit pristup svim relevantnim podacima i poslovnim prostorima povezanim s aktivnostima koje su prepuštene vanjskim izvođačima ili eksternalizirane.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5.4. Eksternalizacija vrlo bitnih funkcija
Neke aktivnosti Društva, kao što su interna kontrola, IT kontrola, procjena rizika, praćenje usklađenosti, upravljanje ključevima i neke druge vrlo bitne funkcije zahtijevaju posebnu kontrolu. Iako se određeni elementi takvih aktivnosti mogu prepustiti vanjskim suradnicima, prepuštanje tih aktivnosti vanjskim suradnicima ne može biti prihvatljivo ako ugrožava aktivnosti Društva i učinkovit nadzor Hanfe.
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
5.5. Postupanje s osobljem izvan zemlje
Korištenje osoblja izvan zemlje je prihvatljivo u određenoj mjeri, ali potencijalno može narušiti sposobnost Društva da osigura kontinuitet i redovitost u obavljanju svojih usluga vezanih uz kriptoimovinu. Pri zapošljavanju osoblja izvan zemlje Društvo treba voditi računa o ograničenjima i potencijalnim rizicima ovisno o ulogama osoblja izvan zemlje i/ili koncentraciji takvog osoblja na određenim funkcijama.
U svakom slučaju, korištenje osoblja izvan zemlje ne bi trebalo:
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga
6. Prijelazne i završne odredbe
Ove smjernice se objavljuju na internetskoj stranici Hanfe te stupaju na snagu danom objave.
KLASA:
URBROJ:
Zagreb, ___
PREDSJEDNIK UPRAVNOG VIJEĆA
dr. sc. Ante Žigman
Komentirate u ime: Hrvatska agencija za nadzor financijskih usluga