Fokus var på virksomhedens forretningsmodel og -planer, organisatoriske struktur og ansvarsfordeling, interne kontrolmiljø, risikostyring og governancestruktur på væsentlige områder, herunder praksis for outsourcing og sikring af brugermidler.
Sammenfatning og risikovurdering
Secure Payment A/S er et dansk betalingsinstitut med tilladelse efter lov om betalinger til at udbyde pengeoverførsler. Virksomheden tilbyder en platform, der håndterer betalinger i forbindelse med køb og salg af brugte biler mellem erhvervsdrivende, primært bilforhandlere. Virksomheden leverer sine tjenester til hele EU og faciliterer et væsentligt transaktionsomfang på tværs af landegrænser. Det øger kompleksiteten og stiller skærpede krav til governance, intern kontrol og risikostyring.
Finanstilsynet blev på inspektionen opmærksom på en række væsentlige forhold, der giver anledning til tilsynsmæssige reaktioner.
Ressourcer og kompetencer
Inspektionen viste, at Secure Payment A/S ikke havde de nødvendige ressourcer og kompetencer til at sikre en forsvarlig drift. Der var ingen fuldtidsansatte i virksomheden, og alle væsentlige driftsopgaver, herunder de tilladelsespligtige aktiviteter, udførtes i moderselskabet Autoproff. Inspektionen gav indtryk af, at virksomheden ikke var tilstrækkeligt orienteret mod de forpligtigelser, der følger af lov om betalinger, og konstaterede, at virksomheden ikke overholdt en række væsentlige krav. Direktøren havde som eneste ansatte ikke adgang til centrale systemer, herunder sikringskonti. Der førtes kun sporadisk kontrol med virksomhedens omfattende outsourcing, der ikke kunne dokumenteres. Der manglede også forretningsgange på stort set alle væsentlige områder, herunder de forretningsgange, der lå til grund for tilladelsen. Samlet set fremstod virksomheden som en juridisk enhed uden egentlige aktiviteter.
Finanstilsynet har derfor påbudt Secure Payment A/S at sikre, at der er tilstrækkelige ressourcer og kompetencer til stede i virksomheden, så de nødvendige opgaver kan varetages retmæssigt, og Finanstilsynet kan føre et effektivt tilsyn[1].
Governance og intern kontrol
Inspektionen viste, at bestyrelsen ikke førte et tilstrækkeligt tilsyn med direktionen. Bestyrelsen modtog ikke løbende og systematiske opdateringer om væsentlige risici, og der var ikke etableret faste procedurer for rapportering til bestyrelsen. Bestyrelsens tilsyn med direktionen fremstod begrænset, sporadisk og ikke dokumenteret. Dette til trods for at bestyrelsen havde udstedt retningslinjer til direktionen.
Finanstilsynet har derfor påbudt Secure Payment A/S at etablere og implementere faste procedurer for løbende at identificere og rapportere risici til bestyrelsen samt at sikre, at bestyrelsen fører et systematisk og dokumenteret tilsyn med direktionen[2].
Outsourcing
Inspektionen viste, at Secure Payment A/S ikke havde etableret de nødvendige rammer for forsvarlig outsourcing, til trods for at alle væsentlige driftsopgaver var outsourcet til moderselskabet, Autoproff. Der var ikke foretaget risikovurderinger af de enkelte outsourcingforhold eller etableret effektive kontrol- og rapporteringsmekanismer. Virksomheden havde ikke udarbejdet politikker og procedurer for outsourcing, og det eksisterende outsourcingregister var utilstrækkeligt. Den outsourcingansvarlige var desuden ansat i Autoproff og udførte visse af de outsourcede opgaver selv.
Finanstilsynet har derfor påbudt Secure Payment A/S at udarbejde et rammeværk for outsourcing, der indebærer hensigtsmæssige forretningsgange, risikovurdering af outsourcingforhold, udpegning af en egnet outsourcingansvarlig og etablering af et outsourcingregister[3].
Sikring af brugermidler
Inspektionen viste, at Secure Payment A/S ikke havde fastlagt processer, der medførte en ordentlig og forsvarlig sikring af brugernes midler. Der eksisterede ikke en egentlig forretningsgang for sikring af brugermidler. Sikringen blev i praksis håndteret i moderselskabet, og direktøren havde ikke adgang til sikringskontoen. Det var desuden ikke fastlagt, hvem der havde ansvaret for at udføre eller føre kontrol med opgaver på området. Der var derfor en risiko for, at det ikke entydigt kunne konstateres, hvis midler der var sikret på sikringskontoen, og hvordan tilbagebetalinger blev håndteret.
Finanstilsynet har derfor påbudt Secure Payment A/S at udarbejde og implementere en forretningsgang, der fastlægger virksomhedens fremgangsmåde for sikring af brugermidler, herunder opgaver og kontrol med området internt i virksomheden[4].
Forretningsgange og risikostyring
Inspektionen viste, at Secure Payment A/S hverken havde forretningsgange og procedurer, der sikrede forsvarlig drift eller kontrol med væsentlige områder, eller tilstrækkelig forståelse for virksomheden risici. Der var bl.a. ikke forretningsgange eller arbejdsbeskrivelser for virksomhedens praksis for håndtering af betalinger, interessekonflikter eller risikostyring. Virksomheden havde heller ikke risikovurderet de betalingstjenester, der blev udbudt, eller fastlagt procedurer for identifikation, forvaltning, overvågning og rapportering af risici.
Finanstilsynet har derfor påbudt Secure Payment A/S at udarbejde og implementere forretningsgange og procedurer for alle væsentlige områder, herunder fyldestgørende interne kontrolprocedure, samt et rammeværk for virksomhedens arbejde med risici[5].
[1] jf. § 25, stk. 1, nr. 5, i lov om betalinger og § 7, stk. 1, i outsourcingbekendtgørelsen
[2] jf. § 25, stk. 1, nr. 1, 2 og 4, i lov om betalinger
[3] jf. § 8, stk. 2, § 16, stk. 1-3, §§ 17 og 19 samt § 23, stk. 1, i outsourcingbekendtgørelsen
[4] jf. § 25, stk. 1, nr. 2 og 3, i lov om betalinger og § 3, stk. 5, i sikringsbekendtgørelsen
[5] jf. § 25, stk. 1, nr. 3, nr. 4, nr. 6 og nr. 7, i lov om betalinger