czwartek, Listopad 14

Wydajemy pieniądz elektroniczny, czyli jak zostać instytucją e-money. Część 2. Ryzyko.

Google+ Pinterest LinkedIn Tumblr +

Zarządzanie ryzykiem w instytucji pieniądza elektronicznego to jednak z najważniejszych kwestii badanych m.in. przez KNF (na etapie przed uzyskaniem licencji, jak i w trakcie bieżącego nadzoru). Posiadanie odpowiednich rozwiązań organizacyjnych, w tym procedur i polityk, jest warunkiem otrzymania zezwolenia na prowadzenie działalności, a także ważnym elementem zabezpieczenia klientów przed utratą powierzonych instytucji środków. Obecnie obowiązujące przepisy (a także wytyczne KNF) nie regulują wystarczająco problematyki spełnienia tych wymogów (brak przykładowo rozporządzenia wydanego na podstawie art. 63 ust. 3 uUP), jednakże takim dokumentem są wytyczne EBA w sprawie środków bezpieczeństwa (w tym ryzyk operacyjnych). I jeszcze mała uwaga – kryptowaluta może być pieniądze elektronicznym, ale nie musi.

W mniejszym zakresie pewne wskazówki można znaleźć również w checkliście KNF. Zachęcam również do przeczytania tego artykułu, który odnosi się do dostawców usług płatniczych w ogólności, a także pierwszej części dotyczącej procesu uzyskiwania licencji na instytucję pieniądza elektronicznego. Ze względu na kompleksowość zagadnienia tematykę zarządzania ryzykiem podzieliłem na trzy części. Poniższe zasady z powodzeniem można implementować w „klasycznej” instytucji płatniczej, jak i banku. 

Regulacje?

Wymóg posiadania odpowiednich rozwiązań w zakresie zarządzania ryzykiem dla instytucji pieniądza elektronicznego wynika z art. 61 ust. 1 pkt 6) ustawy o usługach płatniczych (odpowiednie stosowanie przepisów zgodnie z art. 132a ust. 3 uUP). W checkliście KNF znajdujemy również bardziej precyzyjne informacje. I tak instytucja pieniądza elektronicznego (a właściwie wnioskodawca) powinien przekazać:

  1. Informacje o zasadach zarządzania ryzykiem, tj.:
    1. zasady szacowania ryzyka w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
    2. procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka (polityka zarządzania ryzykiem, która oparta jest o identyfikację kluczowych obszarów, które mogą rodzić określone rodzaje ryzyk dla dostawcy).
  2. informacje o wykorzystywanych narzędziach monitorowania oraz środkach i procedurach następczych stosowanych w celu ograniczenia ryzyk w zakresie bezpieczeństwa (obejmuje to m.in. politykę bezpieczeństwa, jak i plany awaryjne, w tym Business Continuity Plan, który oparty jest o różne – w tym skrajne – scenariusze zdarzeń);
  3. strategię w zakresie bezpieczeństwa (polityka bezpieczeństwa), obejmującą szczegółową ocenę ryzyka, w tym ryzyka oszustwa (ma to szczególne znaczenie w przypadku stosowanie wyłączenia z obowiązku stosowania silnego uwierzytelnienia klienta na podstawie art. 18 Rozporządzenia 2018/389), a także działalności z użyciem internetu (co jest już raczej standardem).

Ramowy system zarządzania ryzykiem

Podstawowym wymogiem stawianym instytucji pieniądza elektronicznego jest posiadanie ramowego systemu zarządzania ryzykami operacyjnymi oraz ryzykami dla bezpieczeństwa. Taki system podlega przynajmniej corocznej aktualizacji i zatwierdzeniu przez zarząd (a w niektórych przypadkach i radę nadzorczą) i jest ogółem wymogów jakie są stawiane instytucji (i całością rozwiązań organizacyjnych).

Sam plan obejmuje przede wszystkim określone środki bezpieczeństwa, które ograniczają występowanie (i konsekwencje wystąpienia) ww. ryzyk. W praktyce zasady dotyczące tych ryzyk znajdą się w polityce zarządzania ryzykiem i procedurach m.in. komitetu ryzyka czy regulaminie komórki ds. zarządzania ryzykiem.

Co powinien zawierać System?

Ramowy System Zarządzania Ryzykiem jest całością rozwiązań, do których wdrożenia zobowiązana jest instytucja. Europejski Urząd Nadzoru Bankowego (EBA) określił co powinno wchodzić w jego skład, tj.:

  1. Strategia bezpieczeństwa obejmująca identyfikację ryzyk oraz środków, które mają zapewnić ochronę klientów instytucji;
  2. Dokumenty, w tym regulaminy i procedury, które określają podział ról i obowiązków oraz zasad eskalacji i raportowania (dla mniejszych instytucji może to być np. jeden regulamin organizacyjny uwzględniający ten podział);
  3. Procedury i systemy rozpoznawania, pomiaru i monitorowania ryzyk, w tym m.in. polityka zarządzania ryzykiem (pamiętać należy, że takie rozwiązania muszą uwzględniać różne rodzaje zagrożeń i ryzyk, w tym w zakresie cyberbezpieczeństwa – tutaj pomocna może być rekomendacja Komisji Nadzoru Finansowego w zakresie bezpieczeństwa transakcji płatniczych.

Jak wspomniałem już powyżej, ważne jest, aby całość tych dokumentów podlegała analizie efektywności, która może być przeprowadzana zarówno przez komórki ds. zarządzania ryzykiem, jak i compliance oraz audytu (co z resztą jest jednym z wymogów wynikających z ustawy o usługach płatniczych). W szczególności w przypadku zidentyfikowania nowych ryzyk, np. w związku z pojawieniem się nowych metod oszustw (jak miało to miejsce w przypadku pojawienie się płatności z użyciem BLIKa), konieczne będzie dostosowanie matrycy ryzyk oraz rozwiązań zapewniających ich mitygację. W przypadku instytucji pieniądza elektronicznego korzystającej z usług agentów należy uwzględnić ten fakt w odpowiedniej polityce.

Podobne „ćwiczenie” należy wykonać w przypadku istotnych zmian w infrastrukturze IT czy istotnym incydencie operacyjnym (te kwestie omówię w innym artykule). Warto zwrócić uwagę, że pewne szczególne wymogi mogą być nakładane na dostawców usług płatniczych w związku z ustawą o cyberbezpieczeństwie i projektowanym rozporządzeniem organizacyjnym, o którym pisałem tutaj. Co istotne, w rozwiązaniach organizacyjnych należy wyraźnie określić jaka jednostka (i w jakich interwałach czasowych lub ad hoc) odpowiada za przygotowanie aktualizacji i wprowadzenie odpowiednich zmian, np. w systemie monitorowania transakcji (wymaganym m.in. na podstawie art. 2 Rozporządzenia 2018/389).

Trzy linie obrony i ważna rola niezależnego audytu

Zarządzanie ryzykiem to nie tylko komórka ryzyka, ale również compliance (szczególnie, że nowe regulacje mogą generować także ryzyka operacyjne i bezpieczeństwa) i audyt. Te jednostki również powinny aktywnie uczestniczyć w procesie zarządzania ryzykiem i powinny mieć do tego odpowiednie narzędzia i uprawnienia (a także zasoby). Muszą mieć również możliwość bezpośredniego raportowania do zarządu (i rady nadzorczej). O roli tych komórek pisałem już na łamach www.finregtech.pl wielokrotnie, więc zainteresowanych odsyłam do

Bardzo ważny jest audyt. Wytyczne EBA wyraźnie wskazują, że wszystkie środki bezpieczeństwa określone w ramach Ramowego Systemu Zarządzania Ryzykiem powinny podlegać niezależnemu audytowi w zakresie płatności i bezpieczeństwa IT. Okresy, w których takie audyty powinny być wykonywane również muszą znaleźć się w odpowiednich dokumentach wewnętrznych, a same dokumenty audytowe powinny być zawsze w odpowiedni sposób zabezpieczone.

 

Udostępnij.

Zostaw komentarz