Zarządzanie ryzykiem dla dostawców usług płatniczych – praktyczne wskazówki

Czym jest zarządzanie ryzykiem i kogo dotyczy?

System zarządzania ryzykiem to całokształt działań podejmowanych w celu ograniczenia ryzyk operacyjnych i ryzyk bezpieczeństwa. Będą to więc procedury, praktyki i strategie oraz rozwiązania bazowe, infrastrukturalne, składające się na ramowy system, do którego opracowania, stosowania i aktualizowania zobowiązany jest dostawca. 

Według Ustawy o usługach płatniczych (dalej: UUP), wdrażającej postanowienia Dyrektywy Parlamentu Europejskiego i Rady, usługi płatnicze mogą być wykonywane tylko przez dostawców usług płatniczych, których wyczerpująco wymienia UUP. Oprócz banków są to więc również m.in.:

• instytucje płatnicze, 
• małe instytucje płatnicze,
• instytucje pieniądza elektronicznego, 
• biura usług płatniczych

Usługą płatniczą wg UUP może być m.in. działalność polegająca na:

• przyjmowaniu wpłat gotówki i dokonywanie wypłat gotówki z rachunku płatniczego i wszelkie działania niezbędne do prowadzenia rachunku
• wykonywaniu transakcji płatniczych
• świadczeniu usługi przekazu pieniężnego
• świadczeniu usługi inicjowania transakcji płatniczej  
• świadczeniu usługi dostępu do informacji o rachunku

Jak zarządzać ryzykiem? – wytyczne 

Co powinno się znaleźć w procedurze zarządzania ryzykiem? 

System zarządzania ryzykiem powinien być kompleksowym dokumentem obejmującym plan dot. bezpieczeństwa podmiotu. W dokumencie dostawca powinien opisać, jak będzie monitorował i rozwiązywał  incydenty związane z bezpieczeństwem oraz skargi klientów.  W systemie powinien również znaleźć się podział ról i obowiązków u danego dostawcy usług płatniczych. Ze względu na złożoność całego systemu zarządzania ryzykiem, warto prowadzić rejestr dokumentów, które się na niego składają wraz z ich aktualizacjami. 

Na co jeszcze warto zwrócić uwagę przygotowując procedury zarządzania ryzykiem?

Do niektórych czynności związanych z usługami płatniczymi, ustawodawca wymaga od dostawcy silnego uwierzytelnianie użytkownika. Przykładem takiej czynności jest np. uzyskanie dostępu do swojego rachunku w trybie on-line. Silne weryfikowanie tożsamości użytkownika  musi być oparte o co najmniej dwa elementy z kategorii wymienionych:

• wiedza, którą ma tylko Użytkownik np. hasło
• posiadanie czegoś, co tylko Użytkownik posiada np. karta płatnicza
• charakterystyczne dla Użytkownika cechy np. odcisk palca 

Bardzo istotne jest, aby pamiętać, iż informację roczną dot. oceny i aktualizacji procedur składających się na  zarządzanie ryzykiem dostawca jest obowiązany corocznie, w terminie do dnia 31 stycznia roku następnego, przekazać Komisji Nadzoru Finansowego lub innemu właściwemu organowi nadzoru. 

Podsumowanie 

Prawidłowe sporządzenie kompletnej i efektywnej dokumentacji dot. zarządzania ryzykiem u dostawców usług płatniczych jest niezwykle istotną kwestią. Tworząc procedurę, dostawca powinien przede wszystkim określić sposoby radzenia sobie z nim ryzykiem oraz kwestię monitorowania go. Na dostawcy ciąży również obowiązek dokumentowania i monitorowania czynności związanych z zarządzaniem ryzykiem. Pamiętajmy, że każda procedura zarządzania ryzykiem musi być odpowiednio dostosowana do danego dostawcy usług płatniczych. Szczegółowość poszczególnych rozwiązań zależy bowiem od wielkości dostawcy, charakteru oraz zakresu usług, które oferuje. Zupełnie inny będzie więc system dot. zarządzania ryzykiem w banku krajowym, inny – w  małej instytucji płatniczej. 

Pytania i odpowiedzi

Zaufali nam:

Może Ciebie również zainteresować: