Dostawcy usług płatniczych mają w obowiązku zapewniać bezpieczeństwo swoim Użytkownikom. Jednym z podmiotów zobowiązanych do sformułowania procedury zarządzania ryzykiem wymienionym w Ustawie o usługach płatniczych (UUP) jest mała instytucja płatnicza. Dzisiaj przyjrzymy się bliżej wymogom, które musi spełnić MIP w zakresie zarządzania ryzykiem. Kompletując dokumentację MIP dla Komisji Nadzoru Finansowego, warto zwrócić się o pomoc do profesjonalistów, aby mieć pewność, że dokumentacja spełnia szereg wymagań. Nie zapominajmy również o dostosowaniu procedury do konkretnego podmiotu.
Mała instytucja płatnicza
Przypomnijmy, że instytucja małej instytucji płatniczej powstała z myślą o podmiotach, chcących samodzielnie świadczyć usługi płatnicze. Aż do 20.06.2018 r. mogły robić to tylko Krajowa Instytucja Płatnicza (KIP), co było obarczone wymogiem uzyskania zgody Komisji Nadzoru Finansowego, długą procedurą i dużą ilością formalności. MIP jest tańszą i prostszą alternatywą dla KIP, oferującą praktycznie te same możliwości. Oprócz procedury zarządzania ryzykiem, na które jest narażona, MIP jest zobowiązana do opracowania i utrzymywania szeregu dokumentów, takich jak m.in.:
- Program działalności na 12 pierwszych miesięcy;
- Plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
- Procedura AML/CFT (przeciwdziałania praniu pieniędzy);
Więcej na temat MIP i wymaganych dokumentów przeczytacie TUTAJ.
Jak zarządzać ryzykiem w małej instytucji płatniczej?
Ogólne wymogi zarządzania ryzykiem określa Ustawa o usługach płatniczych, Dyrektywa PSD2 oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego oraz w rekomendacjach Komisji Nadzoru Finansowego. W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem w małych instytucjach płatniczych, na które ze względu na swoją specyfikę KNF nakłada szczególne wymogi oraz udzielimy praktycznych wskazówek w tej materii.
Budowa procedury zarządzania ryzykiem w małej instytucji płatniczej (MIP)
Wymagania wykonywania działalności w charakterze małej instytucji płatniczej zostały określone w art. 177h Ustawy o usługach płatniczych.
Procedura zarządzania ryzykiem MIP powinna w szczególności zawierać zasady:
- Identyfikacji ryzyka
- Analizy ryzyka
- Planowania reakcji na ryzyko
- Monitorowania i kontroli ryzyka
Jak identyfikować i analizować ryzyko w małej instytucji płatniczej (MIP)?
Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, w tym ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy. Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego.
Charakteryzując rodzaje ryzyka operacyjnego i naruszenia bezpieczeństwa, należy wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do określonych kategorii.
Przykładowymi ryzykami mogą być np.:
- Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie.
- Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
- Ryzyko awarii sprzętu
- Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie.
Planowanie reakcji na ryzyko
Mała instytucja płatnicza powinna zaplanować reakcje na poszczególne, zidentyfikowane i przeanalizowane rodzaje ryzyka. Planowane działania mogą stanowić działania zapobiegawcze, w celu uniknięcia ryzyka, jak i awaryjne, stanowiące odpowiedź na ryzyko już istniejące.
Monitorowanie i kontrola ryzyka
Do monitorowania oraz kontroli ryzyk w MIP powinna zostać wyznaczona specjalna osoba odpowiedzialna. Osoba taka będzie na bieżąco, w określonych w procedurze terminach oceniać ryzyko i przekazywać raporty na jego temat do organu zarządzającego instytucją.
O czym jeszcze warto pamiętać prowadząc MIP ?
W procedurze zarządzania ryzykiem należy określić, kto w MIP jest odpowiedzialny za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. W procedurze powinien się również znaleźć plan ciągłości działania instytucji. Ponadto, każda MIP jest obowiązana zarządzać incydentami i raportować o incydentach.
Procedura zarządzania ryzykiem w MIP – Słowem podsumowania
Mała instytucja płatnicza (MIP) stanowi tańszą i prostszą niż jej odpowiednik o charakterze krajowym (KIP) alternatywę wykonywania usług płatniczych jako dostawca usług płatniczych. Jednym z wymogów sformułowanych w Ustawie o usługach płatniczych dla takich instytucji jest sformułowanie, utrzymywanie i aktualizowanie skutecznej procedury zarządzania ryzykiem, na które jest narażona. Każda procedura powinna być dostosowana do charakteru działalności wykonywanej przez daną MIP, a także do wielkości instytucji i jej celów. Opracowując dokumentację dla Komisji Nadzoru Finansowego, warto te kwestie skonsultować, aby mieć pewność, że dokumentacja jest sporządzona we właściwy sposób.
Może Ciebie również zainteresować:
- Kto powinien posiadać procedury przeciwdziałania praniu brudnych pieniędzy (AML) i co musi się z nich znaleźć?
- AML: Formułowanie oceny ryzyka instytucji obowiązanej – praktyczne wskazówki
- AML w biurze rachunkowym
- Nowelizacja ustawy o AML z uwzględnieniem walut wirtualnych
- Co czeka biura rachunkowe po nowelizacji ustawy AML Wywiad z Kamilą Wasilewską, specjalistką w zakresie prawa finansowego
- Działalność biur rachunkowych w świetle prawa
- Jak zostać małą instytucją płatniczą (MIP)?
- Jakie dokumenty przygotować do wpisu do rejestru jako mała instytucja płatnicza (MIP)?
- Jak zostać krajową instytucją płatniczą (KIP)?
- Handlujesz kryptowalutami? Pamiętaj o obowiązku rejestracji!
- Procedura zarządzania ryzykiem w małej instytucji płatniczej
Zaufali nam:
