רשות ניירות ערך מפרסמת הצעת הוראות נוספות אשר יחולו על חברות תשלומים

בהמשך למזכרינו הקודמים בנוגע לפרסומי רשות ניירות ערך ("הרשות") בעניין טיוטות הוראות שפורסמו על ידי הרשות ועתידות לחול על חברות תשלומים מכוח חוק הסדרת העיסוק בשירותי תשלום וייזום תשלום, התשפ"ג-2023 ("החוק") אשר עתיד להיכנס לתוקף בחודש יוני השנה, פרסמה הרשות לאחרונה שתי הצעות הוראות נוספות לחברות תשלומים: האחת, בעניין ממשל תאגידי, ציות וניהול סיכונים, והאחרת, בעניין מיקור חוץ. 

הצעת הוראה לחברות תשלומים בעניין ממשל תאגידי, ציות וניהול סיכונים: סעיף 23 לחוק קובע כי בעל רישיון ידאג לקיומם של מנגנונים, נאותים ומתקדמים, לאבטחת מידע, לניהול סיכונים ולהגנת סייבר, וכן מסמיך את הרשות לקבוע הוראות לעניין זה. בין היתר, הצעת ההוראה קובעת הוראות בעניינים הבאים:

1. תפקידי הדירקטוריון – הוראה המוצעת קובעת כי תפקיד הדירקטוריון לפקח על אופן הציות של חברת התשלומים להוראות הציות החלות עליה וכן לדון ולאשר את מדיניות הציות של חברת התשלומים, וזאת בתדירות של לפחות אחת לשנה; להבטיח כי נושאי הציות מטופלים באפקטיביות ובמהירות בסיוע קצין הציות; להבטיח כי הדירקטוריון מקבל דיווח מקצין הציות ועורך לגביו דיון לפחות אחת לשנה; ולהעריך, לפחות אחת לשנה, את מידת נאותות הציות על-ידי חברת התשלומים.
2. מדיניות ציות – מוצע כי חברת התשלומים תגבש מדיניות ציות כתובה, הכוללת את העקרונות הבסיסיים על-פיהם יפעלו ההנהלה והעובדים, לשם יישום הוראות ההצעה המוצעת, ובכלל זאת: הגדרת תחומי הסמכות והאחריות של קצין הציות; הכלים והאמצעים שיועמדו לרשות עובדי ומנהלי חברת התשלומים במטרה לתמוך בקיום הוראות הציות, ובכלל זאת קביעת נהלי עבודה ברורים, הכשרה והדרכה שוטפת; הדיווחים ומנגנוני הדיווח; הצעדים שיינקטו כנגד מנהלים ועובדים שיפרו את הוראות הציות; ומתכונת ותדירות הדיווחים שעל קצין הציות להעביר למנכ"ל ולדירקטוריון.
3. קצין ציות – מוצע כי חברת תשלומים תמנה קצין ציות לחברת התשלומים, אשר יהיה כפוף ישירות למנכ"ל, ויהיה האחראי על עמידת חברת התשלומים בהוראות הציות השונות, בהתאם לתוכנית עבודה שנתית, שתאושר על-ידי הדירקטוריון לפחות אחת לשנה. ההוראה המוצעת קובעת, בין היתר, הוראות לעניין תנאי הסף לצורך המינוי; חובה להעמיד לרשות קצין הציות סמכויות ומשאבים הדרושים למילוי תפקידו; וכן את תחומי אחריותו, ובכללם ייעוץ לנושאי המשרה הבכירה בחברת התשלומים בנוגע להוראות ציות; לרבות עדכון ההנהלה הבכירה בהתפתחויות בתחום הציות; סיוע לנושאי המשרה הבכירה בהדרכת עובדים בתחום זה; מתן מענה לעובדי חברת התשלומים לשאלות המתעוררות בתחום זה; ניטור ובדיקה אחר אופן היישום בפועל של הוראות הציות; החובה ליתן למנכ"ל ולדירקטוריון, לפחות אחת לשנה, דיווח שיכלול סיכום פעולותיו והמלצותיו (לצד חובת דיווח מיידית על כל הפרה מהותית); וכן לבצע מעקב שוטף אחר תיקון ליקויים.
4. ניהול סיכונים וממונה ניהול סיכונים – מוצע כי חברת תשלומים תגבש תוכנית לניהול הסיכונים הגלומים במתן שירותי התשלום על ידה, וזאת באופן שהולם את מאפייני פעילות חברת התשלומים, גודלה ומורכבות פעילותה. בין היתר, ההוראה המוצעת קובעת את אחריותם ותפקידם של הגורמים השונים בחברה, כדוגמת הדירקטוריון והמנכ"ל, ביחס למדיניות הסיכונים וכן חובה המוטלת על המנכ"ל לגבש, להטמיע וליישם מסגרת ניהול סיכונים, שתתוקף ותובא לאישור הדירקטוריון, לפחות אחת לשנה, ותכלול, בין היתר, מיפוי והגדרת הסיכונים הרלוונטיים המרכזיים בפעילות חברת התשלומים ואופן ניהולם; גיבוש וניהול מודלים, מתודולוגיות, כלים ותהליכים לזיהוי, מדידה, להערכה, לניטור ולניהול הסיכונים המהותיים הנ"ל; קביעת תאבון הסיכון הכולל ומגבלות החשיפה לסיכון בעבור כל סיכון שנקבע כמהותי; קביעת תכנית הדרכות; תיאור קווי ההגנה ותפקיד ממונה ניהול הסיכונים; תהליך אישור מוצר או שירות חדשים; וכן תיעוד שוטף של הסיכונים המהותיים שמופו ושל כשלים וליקויים שנגלו, באופן שיאפשר בקרה ובדיקה בדיעבד.
   כן מוצע כי חברת תשלומים תמנה ממונה ניהול סיכונים לחברת התשלומים, אשר יהיה כפוף ישירות למנכ"ל. באשר לתפקיד זה, ההוראה המוצעת קובעת כי ממונה ניהול הסיכונים יהיה עצמאי ומופרד מהפעילות העסקית של חברת התשלומים (בכפוף לכך שממונה ניהול סיכונים רשאי לכהן גם כקצין הציות של חברת התשלומים, ובתנאי שהוא עומד בדרישות הסף לשני התפקידים בנפרד). ממונה ניהול הסיכונים יהיה אחראי, בין היתר, על עריכה ועדכון של מפת הסיכונים הגלומים בפעילות חברת התשלומים, ובכלל זה זיהוי הסיכונים, הערכתם, ניהולם וניטורם, ועל בקרה שוטפת של ניהול הסיכונים הגלומים בפעילות חברת התשלומים והחשיפות הנובעות מהסיכונים כאמור.
5. מבחני קיצון – בהתאם להצעת ההוראה, על חברת תשלומים לערוך, לפחות אחת לשנה, מבחני קיצון, במטרה לבחון את החשיפה של למגוון תרחישי קיצון, כמפורט בהצעת ההוראה.
6. תוכנית הפסקת פעילות שירותי התשלום – כן מוצע כי חברת תשלומים תגבש תכנית הפסקת פעילות (Wind-down Plan) במסגרתה חברת התשלומים תבחן כיצד תיפסק או תצומצם פעילותה למתן שירותי תשלום בתרחישים שונים. 

הצעת הוראה לחברות תשלומים בעניין מיקור חוץ: הצעת הרשות בעניין זה, כוללת הוראות שיבטיחו כי שימוש בספקי מיקור חוץ על ידי חברות תשלומים, ובפרט כאשר השימוש במיקור חוץ הוא לביצוע תהליך, שירות או פעילות מהותית, ייעשה בכפוף למנגנונים שיבטיחו כי האחריות והשליטה תישאר בידי חברת התשלומים. בין היתר, הצעת ההוראה קובעת הוראות בעניינים הבאים:

1. תפקיד הדירקטוריון – הצעת ההוראה קובעת כי הדירקטוריון נושא באחריות הכוללת למיקור החוץ, ובכלל זה עליו לוודא כי הוצאת פונקציה למיקור חוץ אינה גורעת מקיום חובותיה ואחריותה של חברת התשלומים לעמוד בכל הוראת דין (לרבות הוראות הרשות), וכן לוודא כי לא תיפגע יכולתה של הרשות לקבל מידע על פעילות חברת התשלומים ולהפעיל סמכויותיה לפי החוק. בנוסף, נקבע כי על הדירקטוריון לדון ולאשר תקופתית את מדיניות מיקור החוץ, וכן לוודא את יישומה האפקטיבי.
2. מדיניות מיקור החוץ – הצעת ההוראה קובעת כי בעל הרישיון יגבש מדיניות מיקור חוץ כתובה, שתעודכן באופן שוטף אשר תובא לאישור הדירקטוריון לפחות אחת לשנה. במסגרת מדיניות מיקור החוץ יוגדרו העקרונות, האחריות והתהליכים בקשר למיקור חוץ בחברת התשלומים, ובכלל זאת: אחריות הדירקטוריון ונושאי משרה בכירה בקבלת החלטות בעניין זה; המעורבות של גורמי בקרה כדוגמת קצין הציות, ממונה ניהול הסיכונים, ממונה אבטחת המידע וכיו"ב בהסדרי מיקור חוץ; הוראות לעניין זיהוי, הערכה וניהול סיכונים והסדרי מיקור חוץ; שמירת תיעוד נאות; וכן קביעת אסטרטגיית יציאה, שתכליתה לוודא את יכולת חברת התשלומים לצאת מהסדרי מיקור חוץ מבלי לפגוע באופן משמעותי בפעילויות העסקיות שלה.
3. מגבלות בקשר עם העברה למיקור חוץ – מוצע כי יחולו מגבלות בקשר עם העברת פעולות למיקור חוץ, באופן שיבטיח כי בעל הרישיון לא יהיה בגדר "מנהל פרויקט" של חברות מבצעות שאינן מפוקחות. לשם כך, נאסר על העברה למיקור חוץ של תפקידי הדירקטוריון ונושאי המשרה הבכירה, ובכלל זאת: קביעת אסטרטגיה ומדיניות, קביעת תיאבון הסיכון של החברה, ביצוע פעולות בקרה ופיקוח על מיקור חוץ, פתיחת חשבון ללקוח או סגירתו, וכל החלטה הכרוכה בשיקול דעת במתן ריבית ללקוחות או במתן אשראי אגב פעולת תשלום.
4. בחינות מקדימות להתקשרות בהסדר מיקור חוץ, הערכת סיכונים וניהול סיכונים – מוצע לקבוע כי חברות תשלומים יידרשו לערוך בחינות מקדימות טרם התקשרות עם ספק מיקור חוץ, לרבות בדיקת נאותות והערכה וניהול לגבי הסדר מיקור החוץ הפוטנציאלי סיכונים (הכוללים, בין היתר, סיכון ריכוזיות, סיכונים הנובעים ממיקור חוץ של מספר פונקציות אצל ספק מיקור חוץ אחד, האמצעים המיושמים לניהול והפחתת הסיכונים וכיו"ב),  על מנת לוודא שמדיניות מיקור החוץ נשמרת והסיכונים מגודרים. על הערכת סיכוני מיקור החוץ להיות מעודכנת לכל הפחות אחת לשנה, ולהיות מדווחת למנכ"ל ולדירקטוריון.
5. התקשרות עם ספק מיקור חוץ – מוצע לקבוע כי התקשרות של חברת תשלומים עם ספק מיקור חוץ תיעשה בהסכם בכתב. כמו כן, מוצע כי ככל שמדובר בהסכם מיקור חוץ של פונקציה מהותית, ההסכם יכלול הוראות מסוימות כמפורט בהוראה המוצעת, ובכללן: תיאור ברור של הפונקציה שתסופק במיקור חוץ; הגדרת תחומי האחריות של כל אחד מהצדדים; רמות ביצוע ושירות הולמים; הוראות ספציפיות הנוגעות לשירותי ענן בהתאם להוראות הדין הרלוונטיות; בירור מחלוקות; וכן חובות דיווח ואפשרות פיקוח על פעילות ספק מיקור החוץ. בנוסף, הצעת ההוראה קובעת את הנושאים שעל חברת תשלומים לשקול, באופן מתועד, וביניהן, תאריך ההתחלה ותאריך הסיום ואורך תקופות ההודעה מראש על סיום, התחייבויות הכספיות של הצדדים, היבטי ביטוח, וכיו"ב.
6. תכנית המשכיות עסקית – בנוסף, מוצע כי חברת תשלומים תוודא כי תכנית ההמשכיות העסקית שלה מתייחסת גם לפונקציות מהותיות שבמיקור חוץ, לרבות לאפשרות של פגיעה באיכות מתן הפונקציה המהותית על ידי ספק מיקור חוץ.

שתי ההצעות הנ"ל אותן סקרנו במסגרת מזכר זה פתוחות להערות הציבור עד ליום 19.5.2024.

פרסום זה מוגש כשירות כללי ללקוחות וידידי המשרד ואינו תחליף לעצה משפטית פרטנית. איננו ממליצים לפעול על פי המידע המובא לעיל ללא קבלת עצה משפטית מגורמים מוסמכים, בהסתמך על העובדות והנסיבות הספציפיות של כל מקרה.