Procedura zarządzania ryzykiem w małej instytucji płatniczej

Mała instytucja płatnicza

Przypomnijmy, że instytucja małej instytucji płatniczej powstała z myślą o podmiotach, chcących samodzielnie świadczyć usługi płatnicze. Aż do 20.06.2018 r. mogły robić to tylko Krajowa Instytucja Płatnicza (KIP), co było obarczone wymogiem uzyskania zgody Komisji Nadzoru Finansowego, długą procedurą i dużą ilością formalności. MIP jest tańszą i prostszą alternatywą dla KIP, oferującą praktycznie te same możliwości. Oprócz procedury zarządzania ryzykiem, na które jest narażona, MIP jest zobowiązana do opracowania i utrzymywania szeregu dokumentów, takich jak m.in.:

• Program działalności na 12 pierwszych miesięcy;
• Plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
• Procedura AML/CFT (przeciwdziałania praniu pieniędzy);

Więcej na temat MIP i wymaganych dokumentów przeczytacie TUTAJ.

Jak zarządzać ryzykiem w małej instytucji płatniczej?

Ogólne wymogi zarządzania ryzykiem określa Ustawa o usługach płatniczych, Dyrektywa PSD2 oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego oraz w rekomendacjach Komisji Nadzoru Finansowego. W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem w małych instytucjach płatniczych, na które ze względu na swoją specyfikę KNF nakłada szczególne wymogi oraz udzielimy praktycznych wskazówek w tej materii.

Budowa procedury zarządzania ryzykiem w małej instytucji płatniczej (MIP)

Wymagania wykonywania działalności w charakterze małej instytucji płatniczej zostały określone w art. 177h Ustawy o usługach płatniczych.

Procedura zarządzania ryzykiem MIP powinna w szczególności zawierać zasady:

• Identyfikacji ryzyka
• Analizy ryzyka
• Planowania reakcji na ryzyko
• Monitorowania i kontroli ryzyka

Jak identyfikować i analizować ryzyko w małej instytucji płatniczej (MIP)?

            Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, w tym ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy.  Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego.

            Charakteryzując rodzaje ryzyka operacyjnego i naruszenia bezpieczeństwa, należy wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do określonych kategorii.

            Przykładowymi ryzykami mogą być np.:

• Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie.
• Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
• Ryzyko awarii sprzętu
• Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie.

Planowanie reakcji na ryzyko

            Mała instytucja płatnicza powinna zaplanować reakcje na poszczególne, zidentyfikowane i przeanalizowane rodzaje ryzyka. Planowane działania mogą stanowić działania zapobiegawcze, w celu uniknięcia ryzyka, jak i awaryjne, stanowiące odpowiedź na ryzyko już istniejące. 

Monitorowanie i kontrola ryzyka

            Do monitorowania oraz kontroli ryzyk w MIP powinna zostać wyznaczona specjalna osoba odpowiedzialna. Osoba taka będzie na bieżąco, w określonych w procedurze terminach oceniać ryzyko i przekazywać raporty na jego temat do organu zarządzającego instytucją.

O czym jeszcze warto pamiętać prowadząc MIP ?

            W procedurze zarządzania ryzykiem należy określić, kto w MIP jest odpowiedzialny za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. W procedurze powinien się również znaleźć plan ciągłości działania instytucji. Ponadto, każda MIP jest obowiązana zarządzać incydentami i raportować o incydentach.

Procedura zarządzania ryzykiem w MIP – Słowem podsumowania

Zaufali nam:

Może Ciebie również zainteresować: