Wersja obowiązująca od 2024-01-09 (Dz.U.2024.30 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
3b. Instytucja płatnicza, stosując środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 3a, uwzględnia wytyczne wydane w tym zakresie przez EUNB.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. (uchylony)
Wersja obowiązująca od 2024-01-09 (Dz.U.2024.30 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
3b. Instytucja płatnicza, stosując środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 3a, uwzględnia wytyczne wydane w tym zakresie przez EUNB.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. (uchylony)
Wersja archiwalna obowiązująca od 2023-09-29 do 2024-01-08
[System zarządzania ryzykiem i kontroli wewnętrznej] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
3b. [28] Instytucja płatnicza, stosując środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 3a, uwzględnia wytyczne wydane w tym zakresie przez EUNB.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. [29] (uchylony)
[28] Art. 64a ust. 3b dodany przez art. 23 pkt 17 lit. a) ustawy z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (Dz.U. poz. 1723). Zmiana weszła w życie 29 września 2023 r.
[29] Art. 64a ust. 5 uchylony przez art. 23 pkt 17 lit. b) ustawy z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (Dz.U. poz. 1723). Zmiana weszła w życie 29 września 2023 r.
Wersja archiwalna obowiązująca od 2022-11-18 do 2023-09-28 (Dz.U.2022.2360 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
Wersja archiwalna obowiązująca od 2021-10-21 do 2022-11-17 (Dz.U.2021.1907 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
Wersja archiwalna obowiązująca od 2020-05-04 do 2021-10-20 (Dz.U.2020.794 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
Wersja archiwalna obowiązująca od 2019-04-09 do 2020-05-03 (Dz.U.2019.659 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
Wersja archiwalna obowiązująca od 2018-07-13 do 2019-04-08
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) [4] zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
[4] Art. 64a ust. 1 pkt 1 lit. b) w brzmieniu ustalonym przez art. 175 pkt 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. poz. 723; ost. zm.: Dz.U. z 2018 r., poz. 1075). Zmiana weszła w życie 13 lipca 2018 r.
Wersja archiwalna obowiązująca od 2018-06-20 do 2018-07-12
[System zarządzania ryzykiem i kontroli wewnętrznej] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) [185] procedur monitorowania incydentów związanych z bezpieczeństwem oraz monitorowania i rozpatrywania skarg użytkowników, w tym skarg związanych z bezpieczeństwem, a także działań następczych w przypadku wystąpienia takich incydentów i skarg, wraz z mechanizmem zgłaszania incydentów uwzględniającym obowiązki instytucji płatniczej w zakresie zgłaszania, o których mowa w art. 32g i art. 32h,
c) systemu komunikacji wewnętrznej,
d) [186] procedury wprowadzonej w celu włączania do dokumentacji, monitorowania i śledzenia szczególnie chronionych danych dotyczących płatności oraz ograniczenia dostępu do tych danych,
e) [187] rozwiązań zapewniających ciągłość działania, w tym wyczerpujące i dokładne określenie krytycznych operacji oraz określenie skutecznych planów awaryjnych i procedury na potrzeby regularnego weryfikowania i przeglądu adekwatności i skuteczności takich planów,
f) [188] zasad i definicji stosowanych do gromadzenia danych statystycznych dotyczących wyników, transakcji i oszustw,
g) [189] strategii w zakresie bezpieczeństwa wraz ze szczegółową oceną ryzyka w odniesieniu do świadczonych przez wnioskodawcę usług płatniczych oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony użytkowników przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych,
h) [190] mechanizmów kontroli wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. [191] Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, kontroli podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych, oraz kontroli, które wnioskodawca zobowiązuje się przeprowadzać w stosunku do agentów i oddziałów krajowej instytucji płatniczej co najmniej raz w roku, w tym kontroli przeprowadzanych bezpośrednio u agenta oraz w oddziale.
3a. [192] Środki kontroli bezpieczeństwa i ograniczania ryzyka, o których mowa w ust. 1 pkt 4 lit. g, wskazują sposób zapewnienia wysokiego poziomu bezpieczeństwa technicznego i ochrony danych, w tym w odniesieniu do oprogramowania i systemów informatycznych stosowanych przez wnioskodawcę lub podmiot, któremu wnioskodawca powierzył wykonywanie całości albo części czynności operacyjnych. Środki te obejmują również środki bezpieczeństwa, o których mowa w dziale IIa.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
5. [193] Minister właściwy do spraw instytucji finansowych określi, w drodze rozporządzenia, wytyczne dotyczące środków, o których mowa w ust. 3a, mając na uwadze konieczność zapewnienia prawidłowego zarządzania ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, a także uwzględniając wytyczne wydane w tym zakresie przez EUNB.
[185] Art. 64a ust. 1 pkt 4 lit. b) w brzmieniu ustalonym przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[186] Art. 64a ust. 1 pkt 4 lit. d) dodana przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[187] Art. 64a ust. 1 pkt 4 lit. e) dodana przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[188] Art. 64a ust. 1 pkt 4 lit. f) dodana przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[189] Art. 64a ust. 1 pkt 4 lit. g) dodana przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[190] Art. 64a ust. 1 pkt 4 lit. h) dodana przez art. 1 pkt 58 lit. a) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[191] Art. 64a ust. 3 w brzmieniu ustalonym przez art. 1 pkt 58 lit. b) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[192] Art. 64a ust. 3a dodany przez art. 1 pkt 58 lit. c) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
[193] Art. 64a ust. 5 dodany przez art. 1 pkt 58 lit. d) ustawy z dnia 10 maja 2018 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1075). Zmiana weszła w życie 20 czerwca 2018 r.
Wersja archiwalna obowiązująca od 2017-10-27 do 2018-06-19 (Dz.U.2017.2003 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur rozpatrywania skarg użytkowników,
c) systemu komunikacji wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, a także kontroli działalności agentów krajowej instytucji płatniczej oraz podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
Wersja archiwalna obowiązująca od 2017-02-08 do 2017-10-26
[System zarządzania ryzykiem i kontroli wewnętrznej] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) [77] zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy o przeciwdziałaniu praniu pieniędzy;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur rozpatrywania skarg użytkowników,
c) systemu komunikacji wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, a także kontroli działalności agentów krajowej instytucji płatniczej oraz podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
[77] Art. 64a ust. 1 pkt 1 lit. b) w brzmieniu ustalonym przez art. 1 pkt 21 ustawy z dnia 30 listopada 2016 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1997). Zmiana weszła w życie 8 lutego 2017 r.
Wersja archiwalna obowiązująca od 2016-09-29 do 2017-02-07 (Dz.U.2016.1572 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2016 r. poz. 299 i 615), zwanej dalej „ustawą o przeciwdziałaniu praniu pieniędzy”;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur rozpatrywania skarg użytkowników,
c) systemu komunikacji wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, a także kontroli działalności agentów krajowej instytucji płatniczej oraz podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
Wersja archiwalna obowiązująca od 2014-07-01 do 2016-09-28 (Dz.U.2014.873 tekst jednolity)
[System zarządzania ryzykiem i kontroli wewnętrznej ] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2014 r. poz. 455), zwanej dalej „ustawą o przeciwdziałaniu praniu pieniędzy”;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur rozpatrywania skarg użytkowników,
c) systemu komunikacji wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, a także kontroli działalności agentów krajowej instytucji płatniczej oraz podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
Wersja archiwalna obowiązująca od 2013-10-07 do 2014-06-30
[System zarządzania ryzykiem i kontroli wewnętrznej] [94] 1. W skład systemu zarządzania ryzykiem i kontroli wewnętrznej, o którym mowa w art. 64 ust. 1 pkt 3, wchodzą:
1) rozwiązania organizacyjne:
a) struktura organizacyjna i procedury podejmowania decyzji obejmujące pełny zakres prowadzonej działalności,
b) zasady i procedury wypełniania obowiązków instytucji obowiązanych w rozumieniu art. 2 pkt 1 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2010 r. Nr 46, poz. 276, z późn. zm.), zwanej dalej „ustawą o przeciwdziałaniu praniu pieniędzy”;
2) zasady zarządzania ryzykiem:
a) zasady szacowania ryzyka, w szczególności ryzyka utraty płynności w przypadku udzielania kredytu, o którym mowa w art. 74 ust. 3, lub w przypadku prowadzenia innej działalności gospodarczej oprócz świadczenia usług płatniczych,
b) procedury identyfikacji ryzyka, jego pomiaru, szacowania, monitorowania oraz informowania o ryzyku, a także procedury ograniczania ryzyka;
3) kontrola wewnętrzna obejmująca:
a) audyt wewnętrzny,
b) badanie zgodności prowadzonej działalności z ustawą, przepisami o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu oraz regulacjami wewnętrznymi;
4) opis:
a) zasad postępowania ze środkami pieniężnymi przyjmowanymi od użytkowników w celu wykonania transakcji płatniczych zgodnie z art. 78,
b) procedur rozpatrywania skarg użytkowników,
c) systemu komunikacji wewnętrznej.
2. Rozwiązania organizacyjne, o których mowa w ust. 1 pkt 1, powinny być uwzględnione w szczególności w opisie, o którym mowa w ust. 1 pkt 4.
3. Kontrola wewnętrzna, o której mowa w ust. 1 pkt 3, obejmuje w szczególności procedury kontroli wykonywania transakcji płatniczych, a także kontroli działalności agentów krajowej instytucji płatniczej oraz podmiotów, którym powierzono wykonywanie niektórych czynności operacyjnych.
4. Instytucja płatnicza na bieżąco weryfikuje i okresowo ocenia sposób funkcjonowania systemu zarządzania ryzykiem i kontroli wewnętrznej.
[94] Art. 64a dodany przez art. 1 pkt 31 ustawy z dnia 12 lipca 2013 r. o zmianie ustawy o usługach płatniczych oraz niektórych innych ustaw (Dz.U. poz. 1036). Zmiana weszła w życie 7 października 2013 r.