Mała instytucja płatnicza
Przypomnijmy, że instytucja małej instytucji płatniczej powstała z myślą o podmiotach, chcących samodzielnie świadczyć usługi płatnicze. Aż do 20.06.2018 r. mogły robić to tylko Krajowa Instytucja Płatnicza (KIP), co było obarczone wymogiem uzyskania zgody Komisji Nadzoru Finansowego, długą procedurą i dużą ilością formalności. MIP jest tańszą i prostszą alternatywą dla KIP, oferującą praktycznie te same możliwości. Oprócz procedury zarządzania ryzykiem, na które jest narażona, MIP jest zobowiązana do opracowania i utrzymywania szeregu dokumentów, takich jak m.in.:
- Program działalności na 12 pierwszych miesięcy;
- Plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
- Procedura AML/CFT (przeciwdziałania praniu pieniędzy);
Więcej na temat MIP i wymaganych dokumentów przeczytacie TUTAJ.
Jak zarządzać ryzykiem w małej instytucji płatniczej?
Ogólne wymogi zarządzania ryzykiem określa Ustawa o usługach płatniczych, Dyrektywa PSD2 oraz Wytyczne Europejskiego Urzędu Nadzoru Bankowego oraz w rekomendacjach Komisji Nadzoru Finansowego. W niniejszym artykule przyjrzymy się bliżej wytycznym zarządzania ryzykiem w małych instytucjach płatniczych, na które ze względu na swoją specyfikę KNF nakłada szczególne wymogi oraz udzielimy praktycznych wskazówek w tej materii.
Budowa procedury zarządzania ryzykiem w małej instytucji płatniczej (MIP)
Wymagania wykonywania działalności w charakterze małej instytucji płatniczej zostały określone w art. 177h Ustawy o usługach płatniczych.
Procedura zarządzania ryzykiem MIP powinna w szczególności zawierać zasady:
- Identyfikacji ryzyka
- Analizy ryzyka
- Planowania reakcji na ryzyko
- Monitorowania i kontroli ryzyka
Jak identyfikować i analizować ryzyko w małej instytucji płatniczej (MIP)?
Wyróżniamy ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, w tym ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego. Ryzykiem naruszenia bezpieczeństwa jest ryzyko wynikające z zawodnych procedur wewnętrznych lub nieodpowiedniego ich stosowania, a także wynikające ze zdarzeń zewnętrznych, które mogą niekorzystnie wpłynąć na usługi dostawcy. Ryzyko operacyjne wynika z kolei z przykładowo błędu ludzkiego lub ryzyka prawnego.
Charakteryzując rodzaje ryzyka operacyjnego i naruszenia bezpieczeństwa, należy wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do określonych kategorii.
Przykładowymi ryzykami mogą być np.:
- Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie.
- Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
- Ryzyko awarii sprzętu
- Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie.
Planowanie reakcji na ryzyko
Mała instytucja płatnicza powinna zaplanować reakcje na poszczególne, zidentyfikowane i przeanalizowane rodzaje ryzyka. Planowane działania mogą stanowić działania zapobiegawcze, w celu uniknięcia ryzyka, jak i awaryjne, stanowiące odpowiedź na ryzyko już istniejące.
Monitorowanie i kontrola ryzyka
Do monitorowania oraz kontroli ryzyk w MIP powinna zostać wyznaczona specjalna osoba odpowiedzialna. Osoba taka będzie na bieżąco, w określonych w procedurze terminach oceniać ryzyko i przekazywać raporty na jego temat do organu zarządzającego instytucją.
O czym jeszcze warto pamiętać prowadząc MIP ?
W procedurze zarządzania ryzykiem należy określić, kto w MIP jest odpowiedzialny za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. W procedurze powinien się również znaleźć plan ciągłości działania instytucji. Ponadto, każda MIP jest obowiązana zarządzać incydentami i raportować o incydentach.
Procedura zarządzania ryzykiem w MIP – Słowem podsumowania
Mała instytucja płatnicza (MIP) stanowi tańszą i prostszą niż jej odpowiednik o charakterze krajowym (KIP) alternatywę wykonywania usług płatniczych jako dostawca usług płatniczych. Jednym z wymogów sformułowanych w Ustawie o usługach płatniczych dla takich instytucji jest sformułowanie, utrzymywanie i aktualizowanie skutecznej procedury zarządzania ryzykiem, na które jest narażona. Każda procedura powinna być dostosowana do charakteru działalności wykonywanej przez daną MIP, a także do wielkości instytucji i jej celów. Opracowując dokumentację dla Komisji Nadzoru Finansowego, warto te kwestie skonsultować, aby mieć pewność, że dokumentacja jest sporządzona we właściwy sposób.
Pytania i odpowiedzi
Ogólne wymogi zarządzania ryzykiem są określone w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego. MIP musi szczególnie zwrócić uwagę na identyfikację ryzyka, analizę ryzyka, planowanie reakcji na ryzyko oraz monitorowanie i kontrolę ryzyka.
MIP musi identyfikować i analizować ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa, takie jak problemy z dostępnością do systemu teleinformatycznego, ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego czy ryzyko awarii sprzętu. MIP powinna zaplanować reakcje na zidentyfikowane rodzaje ryzyka, obejmujące działania zapobiegawcze i awaryjne w celu uniknięcia lub odpowiedzi na już istniejące ryzyko.
Procedura zarządzania ryzykiem w MIP powinna zawierać zasady identyfikacji ryzyka, analizy ryzyka, planowania reakcji na ryzyko oraz monitorowania i kontroli ryzyka. Procedura powinna także określić osobę odpowiedzialną za identyfikowanie, analizę, reagowanie, monitorowanie i kontrolę ryzyka. Dodatkowo, osoba monitorująca ryzyko powinna przekazywać raporty na jego temat do organu zarządzającego instytucją.
Zaufali nam:
Może Ciebie również zainteresować:
Mała Instytucja Płatnicza w pigułce:
- MAŁA INSTYTUCJA PŁATNICZA (MIP) – JAK ZOSTAĆ MAŁĄ INSTYTUCJĄ PŁATNICZĄ?
- OBRÓT WALUTAMI WIRTUALNYMI A MAŁA INSTYTUCJA PŁATNICZA (MIP)?
- PRZEKROCZENIE LIMITU TRANSAKCJI PRZEZ MIP – CO NAM WOLNO PO ZŁOŻENIU WNIOSKU O KIP?
- OGRANICZENIA TERYTORIALNE MAŁEJ INSTYTUCJI PŁATNICZEJ (MIP)
- KIEDY NIE MUSISZ WNIOSKOWAĆ O STATUS MAŁEJ INSTYTUCJI PŁATNICZEJ (MIP)
- LIMIT 2000 EURO NA RACHUNKACH PŁATNICZYCH UŻYTKOWNIKÓW MAŁEJ INSTYTUCJI PŁATNICZEJ (MIP)
- USTAWA O SYSTEMIE INFORMACJI FINANSOWEJ – KANCELARIA RPMS
Warto wiedzieć:
- JAK ZOSTAĆ KRAJOWĄ INSTYTUCJĄ PŁATNICZĄ (KIP)
- DOKUMENTACJA AML (PROCEDURA)
- SILNE UWIERZYTELNIENIE W USŁUGACH PŁATNICZYCH
- OUTSOURCING W DZIAŁALNOŚCI INSTYTUCJI PŁATNICZYCH
- CZYM JEST ACQUIRING ORAZ WYDAWANIE INSTRUMENTÓW PŁATNICZYCH?
- PROCEDURA ZARZĄDZANIA RYZYKIEM W MAŁEJ INSTYTUCJI PŁATNICZEJ
- ZARZĄDZANIE RYZYKIEM DLA DOSTAWCÓW USŁUG PŁATNICZYCH – PRAKTYCZNE WSKAZÓWKI
- BIURO USŁUG PŁATNICZYCH
- AGENT INSTYTUCJI PŁATNICZEJ | AGENT KIP