Hanna Czupajło
|
7 czerwca 2021

Spis treści

Dostawcy usług płatniczych mają w obowiązku zapewniać bezpieczeństwo swoim Użytkownikom. Jednym z podmiotów zobowiązanych do sformułowania procedury zarządzania ryzykiem wymienionym w Ustawie o usługach płatniczych (UUP) jest mała instytucja płatnicza. Dzisiaj przyjrzymy się bliżej wymogom, które musi spełnić MIP w zakresie zarządzania ryzykiem. Kompletując dokumentację MIP dla Komisji Nadzoru Finansowego, warto zwrócić się o pomoc do profesjonalistów, aby mieć pewność, że dokumentacja spełnia szereg wymagań. Nie zapominajmy również o dostosowaniu procedury do konkretnego podmiotu.

Mała instytucja płatnicza

Przypomnijmy, że instytucja małej instytucji płatniczej powstała z myślą o podmiotach, chcących samodzielnie świadczyć usługi płatnicze. Aż do 20.06.2018 r. mogły robić to tylko Krajowa Instytucja Płatnicza (KIP), co było obarczone wymogiem uzyskania zgody Komisji Nadzoru Finansowego, długą procedurą i dużą ilością formalności. MIP jest tańszą i prostszą alternatywą dla KIP, oferującą praktycznie te same możliwości. Oprócz procedury zarządzania ryzykiem, na które jest narażona, MIP jest zobowiązana do opracowania i utrzymywania szeregu dokumentów, takich jak m.in.:

  • Program działalności na 12 pierwszych miesięcy;
  • Plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
  • Procedura AML/CFT (przeciwdziałania praniu pieniędzy);

Więcej na temat MIP i wymaganych dokumentów przeczytacie TUTAJ.

Jak zarządzać ryzykiem w małej instytucji płatniczej?

Ogólne wymogi zarządzania ryzykiem określa Ustawa o usługach płatniczych, Dyrektywa PSD2 oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego oraz w rekomendacjach Komisji Nadzoru Finansowego. W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem w małych instytucjach płatniczych, na które ze względu na swoją specyfikę KNF nakłada szczególne wymogi oraz udzielimy praktycznych wskazówek w tej materii.

Budowa procedury zarządzania ryzykiem w małej instytucji płatniczej

Wymagania wykonywania działalności w charakterze małej instytucji płatniczej zostały określone w art. 177h Ustawy o usługach płatniczych.

Procedura zarządzania ryzykiem MIP powinna w szczególności zawierać zasady:

  • Identyfikacji ryzyka
  • Analizy ryzyka
  • Planowania reakcji na ryzyko
  • Monitorowania i kontroli ryzyka

Jak identyfikować i analizować ryzyko?

            Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, w tym ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy.  Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego.

            Charakteryzując rodzaje ryzyka operacyjnego i naruszenia bezpieczeństwa, należy wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do określonych kategorii.

            Przykładowymi ryzykami mogą być np.:

  • Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie.
  • Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
  • Ryzyko awarii sprzętu
  • Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie.

Planowanie reakcji na ryzyko

            Mała instytucja płatnicza powinna zaplanować reakcje na poszczególne, zidentyfikowane i przeanalizowane rodzaje ryzyka. Planowane działania mogą stanowić działania zapobiegawcze, w celu uniknięcia ryzyka, jak i awaryjne, stanowiące odpowiedź na ryzyko już istniejące. 

Monitorowanie i kontrola ryzyka

            Do monitorowania oraz kontroli ryzyk w MIP powinna zostać wyznaczona specjalna osoba odpowiedzialna. Osoba taka będzie na bieżąco, w określonych w procedurze terminach oceniać ryzyko i przekazywać raporty na jego temat do organu zarządzającego instytucją.

O czym jeszcze warto pamiętać?

            W procedurze zarządzania ryzykiem należy określić, kto w MIP jest odpowiedzialny za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. W procedurze powinien się również znaleźć plan ciągłości działania instytucji. Ponadto, każda MIP jest obowiązana zarządzać incydentami i raportować o incydentach.

Podsumowanie

            Mała instytucja płatnicza (MIP) stanowi tańszą i prostszą niż jej odpowiednik o charakterze krajowym (KIP) alternatywę wykonywania usług płatniczych jako dostawca usług płatniczych. Jednym z wymogów sformułowanych w Ustawie o usługach płatniczych dla takich instytucji jest sformułowanie, utrzymywanie i aktualizowanie skutecznej procedury zarządzania ryzykiem, na które jest narażona. Każda procedura powinna być dostosowana do charakteru działalności wykonywanej przez daną MIP, a także do wielkości instytucji i jej celów. Opracowując dokumentację dla Komisji Nadzoru Finansowego, warto udać się o pomoc do profesjonalistów, aby mieć pewność, że dokumentacja jest sporządzona we właściwy sposób.



Zaufali nam: