+48 61 307 09 91kancelaria@rpms.pl
      EnglishUkrainian
      Strona główna / Aktualności / FinTech / Procedura zarządzania ryzykiem w małej instytucji płatniczej

      Procedura zarządzania ryzykiem w małej instytucji płatniczej

      AutorKamila Wasilewska

      Data dodania
      7 czerwca, 2021
      Data aktualizacji
      6 lutego, 2026
      Czas czytania
      3 min.

      Dostawcy usług płatniczych mają w obowiązku zapewniać bezpieczeństwo swoim Użytkownikom. Jednym z podmiotów zobowiązanych do sformułowania procedury zarządzania ryzykiem wymienionym w Ustawie o usługach płatniczych (UUP) jest mała instytucja płatnicza. Dzisiaj przyjrzymy się bliżej wymogom, które musi spełnić MIP w zakresie zarządzania ryzykiem. Kompletując dokumentację MIP dla Komisji Nadzoru Finansowego, warto zwrócić się o pomoc do profesjonalistów, aby mieć pewność, że dokumentacja spełnia szereg wymagań. Nie zapominajmy również o dostosowaniu procedury do konkretnego podmiotu.

      Mała instytucja płatnicza

      Przypomnijmy, że instytucja małej instytucji płatniczej powstała z myślą o podmiotach, chcących samodzielnie świadczyć usługi płatnicze. Aż do 20.06.2018 r. mogły robić to tylko Krajowa Instytucja Płatnicza (KIP), co było obarczone wymogiem uzyskania zgody Komisji Nadzoru Finansowego, długą procedurą i dużą ilością formalności. MIP jest tańszą i prostszą alternatywą dla KIP, oferującą praktycznie te same możliwości. Oprócz procedury zarządzania ryzykiem, na które jest narażona, MIP jest zobowiązana do opracowania i utrzymywania szeregu dokumentów, takich jak m.in.:

      • Program działalności na 12 pierwszych miesięcy;
      • Plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
      • Procedura AML/CFT (przeciwdziałania praniu pieniędzy);

      Więcej na temat MIP i wymaganych dokumentów przeczytacie TUTAJ.

      Jak zarządzać ryzykiem w małej instytucji płatniczej?

      Ogólne wymogi zarządzania ryzykiem określa Ustawa o usługach płatniczych, Dyrektywa PSD2 oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego oraz w rekomendacjach Komisji Nadzoru Finansowego. W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem w małych instytucjach płatniczych, na które ze względu na swoją specyfikę KNF nakłada szczególne wymogi oraz udzielimy praktycznych wskazówek w tej materii.

      Budowa procedury zarządzania ryzykiem w małej instytucji płatniczej (MIP)

      Wymagania wykonywania działalności w charakterze małej instytucji płatniczej zostały określone w art. 177h Ustawy o usługach płatniczych.

      Procedura zarządzania ryzykiem MIP powinna w szczególności zawierać zasady:

      • Identyfikacji ryzyka
      • Analizy ryzyka
      • Planowania reakcji na ryzyko
      • Monitorowania i kontroli ryzyka

      Jak identyfikować i analizować ryzyko w małej instytucji płatniczej (MIP)?

      Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, w tym ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy.  Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego.

      Charakteryzując rodzaje ryzyka operacyjnego i naruszenia bezpieczeństwa, należy wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do określonych kategorii.

      Przykładowymi ryzykami mogą być np.:

      • Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie.
      • Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
      • Ryzyko awarii sprzętu
      • Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie.

      Planowanie reakcji na ryzyko

      Mała instytucja płatnicza powinna zaplanować reakcje na poszczególne, zidentyfikowane i przeanalizowane rodzaje ryzyka. Planowane działania mogą stanowić działania zapobiegawcze, w celu uniknięcia ryzyka, jak i awaryjne, stanowiące odpowiedź na ryzyko już istniejące.

      Monitorowanie i kontrola ryzyka

      Do monitorowania oraz kontroli ryzyk w MIP powinna zostać wyznaczona specjalna osoba odpowiedzialna. Osoba taka będzie na bieżąco, w określonych w procedurze terminach oceniać ryzyko i przekazywać raporty na jego temat do organu zarządzającego instytucją.

      O czym jeszcze warto pamiętać prowadząc MIP ?

      W procedurze zarządzania ryzykiem należy określić, kto w MIP jest odpowiedzialny za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. W procedurze powinien się również znaleźć plan ciągłości działania instytucji. Ponadto, każda MIP jest obowiązana zarządzaćincydentami i raportować o incydentach.

      Procedura zarządzania ryzykiem w MIP – Słowem podsumowania

      Mała instytucja płatnicza (MIP) stanowi tańszą i prostszą niż jej odpowiednik o charakterze krajowym (KIP) alternatywę wykonywania usług płatniczych jako dostawca usług płatniczych. Jednym z wymogów sformułowanych w Ustawie o usługach płatniczych dla takich instytucji jest sformułowanie, utrzymywanie i aktualizowanie skutecznej procedury zarządzania ryzykiem, na które jest narażona. Każda procedura powinna być dostosowana do charakteru działalności wykonywanej przez daną MIP, a także do wielkości instytucji i jej celów. Opracowując dokumentację dla Komisji Nadzoru Finansowego, warto te kwestie skonsultować, aby mieć pewność, że dokumentacja jest sporządzona we właściwy sposób.

      Pytania i odpowiedzi

      Jakie są główne wymogi dotyczące zarządzania ryzykiem w MIP?

      Ogólne wymogi zarządzania ryzykiem są określone w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego. MIP musi szczególnie zwrócić uwagę na identyfikację ryzyka, analizę ryzyka, planowanie reakcji na ryzyko oraz monitorowanie i kontrolę ryzyka.

      Jakie są rodzaje ryzyk w działalności MIP?

      MIP musi identyfikować i analizować ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, takie jak problemy z dostępnością do systemu teleinformatycznego, ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego czy ryzyko awarii sprzętu. MIP powinna zaplanować reakcje na zidentyfikowane rodzaje ryzyka, obejmujące działania zapobiegawcze i awaryjne w celu uniknięcia lub odpowiedzi na już istniejące ryzyko.

      Jakie są kroki w budowaniu procedury zarządzania ryzykiem w MIP?

      Procedura zarządzania ryzykiem w MIP powinna zawierać zasady identyfikacji ryzyka, analizy ryzyka, planowania reakcji na ryzyko oraz monitorowania i kontroli ryzyka. Procedura powinna także określić osobę odpowiedzialną za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. Dodatkowo, osoba monitorująca ryzyko powinna przekazywać raporty na jego temat do organu zarządzającego instytucją.
      5/5 - (liczba głosów: 3)

      Kamila Wasilewska

      RADCA PRAWNY | WSPÓLNIK

      wasilewska@rpms.pl

      O Autorze

      Od 2017 r. radca prawny, członek Okręgowej Izby Radców Prawnych w Poznaniu. Compliance Officer w przedsiębiorstwach oraz Specjalista ds. AML. Ukończyła studia podyplomowe na kierunku Podatki i doradztwo podatkowe (Uniwersytet Ekonomiczny w Poznaniu) oraz Bankowość (Wyższa Szkoła Bankowa). Słuchacz Studium prawa brytyjskiego organizowanego przez British Law Centre w Warszawie oraz studiów podyplomo...

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany.Wymagane pola są oznaczone *

      Powiązane artykuły

      Zaufali Nam