Dostawcy usług płatniczych są zobowiązani do zapewnienia bezpieczeństwa użytkownikom. Jednym z podmiotów, które zostały zobligowane do sporządzenia procedury zarządzania ryzykiem (które wymienia Ustawa o usługach płatniczych – UUP), jest również Mała Instytucja Płatnicza. W tym artykule przeanalizujemy wymagania, które powinna spełniać MIP w zakresie zarządzania ryzykiem.
Podmioty będące Małą Instytucją Płatniczą – charakterystyka
Mała Instytucja Płatnicza powstała z myślą o tych podmiotach, które chcą samodzielnie świadczyć usługi płatnicze. Do 20 czerwca 2018 roku taka możliwość przysługiwała wyłącznie Krajowym Instytucjom Płatniczym (KIP). Uzyskanie statusu KIP jest skomplikowane, obarczone czasochłonną procedurą i ogromną ilością formalności.
Z kolei forma działalności, jaką jest MIP, stanowi tańszą i prostszą alternatywę dla KIP. Oferuje praktycznie te same możliwości, choć z pewnymi ograniczeniami, m.in. terytorialnymi (obsługiwane transakcje mogą być realizowane tylko na terytorium RP). Należy przy tym pamiętać, że obsługa Małej Instytucji Płatniczej powinna być prowadzona przez podmioty dysponujące odpowiednią wiedzą o usługach płatniczych.
Poza procedurą zarządzania ryzykiem, na które jest narażona, Mała Instytucja Płatnicza ma obowiązek opracowania i utrzymywania wielu dokumentów, takich jak:
- program działalności na 12 pierwszych miesięcy;
- plan finansowy na 12 pierwszych miesięcy, uwzględniający limit średniej całkowitej kwoty transakcji płatniczych z poprzednich 12 miesięcy, wynoszącym równowartość 1 500 000 euro miesięcznie.
- procedura AML/CFT (przeciwdziałania praniu pieniędzy).
Oczywiście, jeśli nie wiemy, jaką dokumentację przygotować dla Komisji Nadzoru Finansowego lub mamy problem z dostosowaniem procedury zarządzania ryzykiem – warto zgłosić się do kancelarii prawnej, która zrobi to za nas.
Sposoby zarządzania ryzykiem w Małej Instytucji Płatniczej
Wymogi zarządzania ryzykiem zostały wskazane w Ustawie o usługach płatniczych, Dyrektywie PSD2 oraz Wytycznych Europejskiego Urzędu Nadzoru Bankowego, a także w rekomendacjach Komisji Nadzoru Finansowego.
Poniżej przyjrzymy się bliżej poszczególnym wytycznym zarządzania ryzykiem w Małych Instytucjach Płatniczych, na które przez wzgląd na specyfikę KNF nałożył szczególne wymogi. W ramach analizy przedstawimy też kilka praktycznych wskazówek.
Budowa procedury zarządzania ryzykiem w MIP
Wymogi wykonywania działalności w formie Małej Instytucji Płatniczej określa artykuł 177h Ustawy o usługach płatniczych. W procedurze zarządzania ryzykiem MIP muszą znaleźć się przede wszystkim zasady:
- Identyfikacji ryzyka
- Analizy ryzyka
- Planowania reakcji na ryzyko
- Monitorowania i kontroli ryzyka
Identyfikacja i analiza ryzyka w MIP polega na rozróżnieniu na ryzyko operacyjne i ryzyko naruszenia bezpieczeństwa (w tym związane z zagrożeniem bezpieczeństwa teleinformatycznego). Ryzyko naruszenia bezpieczeństwa wynika z zawodowych procedur wewnętrznych bądź niewłaściwego ich stosowania. Może też być skutkiem wydarzeń zewnętrznych, które potencjalnie mogą mieć niekorzystny wpływ na usługi dostawcy.
Natomiast ryzyko operacyjne może być skutkiem np. ludzkiego błędu lub ryzyka prawnego. Przy określaniu rodzajów ryzyka operacyjnego i naruszenia bezpieczeństwa trzeba wskazać ich źródła i przeanalizować każde ze zidentyfikowanych ryzyk oraz przypisać je do odpowiednich kategorii.
Przykładowe ryzyka dla MIP to:
- Ryzyko awarii sprzętu;
- Problemy z dostępnością do systemu teleinformatycznego, które mogą polegać na niemożności korzystania z systemu w określonym czasie;
- Ryzyko wystąpienia problemów z informatycznym nośnikiem danych skutkujących brakiem możliwości odczytu danych w określonym czasie;
- Narażenie na złośliwe oprogramowanie, którego celem jest przeprowadzenie szkodliwych działań.
Planowanie reakcji na ryzyko oraz kontrola ryzyka
Mała Instytucja Płatnicza musi także zaplanować reakcje na konkretne, zidentyfikowane i poddane analizie rodzaje ryzyka. Planowane działania powinny być zapobiegawcze, czyli mieć na celu uniknięcie ryzyka, a także awaryjne, a więc stanowić odpowiedź na ryzyka, które już zaistniały.
Druga kwestia to monitorowanie i kontrola ryzyka. Do tej czynności należy wyznaczyć w MIP specjalną osobę odpowiedzialną. Osoba ta musi na bieżąco (we wskazanych w procedurze terminach) oceniać ryzyko i przekazywać raporty na ten temat do organu zarządzającego MIP.
Poza tym, prowadząc Małą Instytucję Płatniczą, powinniśmy określić w procedurze zarządzania ryzykiem, kto będzie odpowiedzialny za:
- identyfikowanie,
- analizę,
- reagowanie,
- monitorowanie
- i kontrolę ryzyka.
Procedura musi uwzględniać także plan ciągłości działania instytucji. Warto zaznaczyć, że każda MIP jest też zobligowana do zarządzania incydentami i raportowania o incydentach.
Wnioski: procedura zarządzania ryzykiem w Małej Instytucji Płatniczej
MIP, czyli Mała Instytucja Płatnicza to tańsza i mniej skomplikowana niż KIP forma działalności, która umożliwia wykonywanie usług płatniczych jako dostawca usług płatniczych. Wymogiem, który stawia się takim instytucjom (według brzmienia Ustawy o usługach płatniczych), jest sporządzenie, utrzymywanie i aktualizowanie efektywnej procedury zarządzania ryzykiem, na które jest narażona.
Procedura musi być każdorazowo dostosowywana do indywidualnego charakteru działalności danej MIP, w tym do jej wielkości i celów. Dlatego przy opracowywaniu dokumentacji dla KNF, warto skonsultować ją z prawnikiem. Dzięki temu będziemy mieć gwarancję sformułowania dokumentów w prawidłowy sposób.
Marcin Staniszewski
Kancelaria Prawna RPMS Staniszewski & Wspólnicy
